Mối đe dọa an ninh trong TMĐT

15 Bài 5 M i đe d a an ninh trong TMĐTố ọ Th ng M i Đi n Tươ ạ ệ ử 25 Khái ni m v vi c b o vệ ề ệ ả ệ u M t s hi m h aộ ố ể ọ l Các e-mail g i đ nử ế l Truy xu t trái phép các thông tin sấ ố l Thông tin th tín d ng r i vào tay k x uẻ ụ ơ ẻ ấ l ........ u Hai hình th c th c hi n b o vứ ự ệ ả ệ l V t Lý - b o v các thành ph n h u hìnhậ ả ệ ầ ữ l Logic - b o v các thành ph n vô hìnhả ệ ầ 35 Khái ni m v vi c b o vệ ề ệ ả ệ u Các bi n pháp phòng v và tr đũa ệ ệ ả (b ng hình th c v t lý hay logic) đ c ằ ứ ậ ượ th c hi n nh m nh n di n, gi m thi u ự ệ ằ ậ ệ ả ể hay lo i b các m i đe doạ ỏ ố ạ 45 55 Các đ c đi m ặ ể u Bí m t - Secrecyậ l B o đ m tính chính xác c a d li u và ả ả ủ ữ ệ ngăn ng a các thông tin riêng t b ti t lừ ư ị ế ộ u Toàn v n - Integrityẹ l C p nh t trái phép các thông tin ??ậ ậ u Đáp ng - Necessityứ l T ch i hay đáp ng thông tin không k p ừ ố ứ ị th i ??ờ 65 B n quy n và s h u trí tuả ề ở ữ ệ u B n quy n-quy n tác giả ề ề ả l M t s lĩnh v cộ ố ự u Văn ch ng, âm nh cươ ạ u K ch, múaị u Tranh, hình nh, t ng,..ả ượ u S n ph m đi n nh, nghe nhìn,...ả ẩ ệ ả u Công nghi p âm thanhệ u Ki n trúcế u ........... 75 B n quy n và s h u trí tuả ề ở ữ ệ u S h u trí tu -Intellectual propertyở ữ ệ l B o v tác quy n cho các ý t ng cũng nh ả ệ ề ưở ư các th hi n (vô hình hay h u hình) t các ý ể ệ ữ ừ t ng đóưở u U.S. Copyright Act 1976 l B o v quy n tác gi trong th i gian h n ả ệ ề ả ờ ạ đ nhị l Copyright Clearance Center u C p gi y phép s d ng ấ ấ ử ụ 85 Copyright Clearance Center Home Page 95 Các t ng th ng dùngừ ữ ườ u copyright u “copyleft” u shareware u freeware u free software u open source code 10 5 SPAM u Ngày nay ng i s d ng Internet ph i ườ ử ụ ả đ i m t v i r t nhi u r i ro nh : ố ặ ớ ấ ề ủ ư virus, l a đ o, b theo dõi (gián đi p – ừ ả ị ệ spyware), b đánh c p d li u, b đánh ị ắ ữ ệ ị phá website (n u là ch s h u ế ủ ở ữ website) v.v.... u Spam (th rác): ng i nh n m i ngày có ư ườ ậ ỗ th nh n vài, vài ch c, đ n vài trăm th ể ậ ụ ế ư rác, gây m t th i gian, m t tài nguyên ấ ờ ấ (dung l ng ch a, th i gian t i v ...) ượ ứ ờ ả ề 11 5 VIRUS u Xu t hi n l n đ u tiên vào năm 1983.ấ ệ ầ ầ u Virus là m t ch ng trình máy tính có kh ộ ươ ả năng t nhân b n và lan t a.ự ả ỏ u M c đ nghiêm tr ng c a virus dao đ ng ứ ộ ọ ủ ộ khác nhau tùy vào ch ý c a ng i vi t ra ủ ủ ườ ế virus, ít nh t virus cũng chi m tài nguyên ấ ế trong máy tính và làm t c đ x lý c a ố ộ ử ủ máy tính ch m đi, nghiêm tr ng h n, virus ậ ọ ơ có th xóa file, format l i c ng ho c ể ạ ổ ứ ặ gây nh ng h h ng khác.ữ ư ỏ 12 5 VIRUS u Tr c kia virus ch y u lan t a qua vi c s ướ ủ ế ỏ ệ ử d ng chung file, đĩa m m... ụ ề u Ngày nay trên môi tr ng Internet, virus có c ườ ơ h i lan t a r ng h n, nhanh h n.ộ ỏ ộ ơ ơ u Virus đa ph n đ c g i qua email, n d i các ầ ượ ử ẩ ướ file g i kèm (attachment) và lây nhi m trong ử ễ m ng n i b các doanh nghi p, làm doanh ạ ộ ộ ệ nghi p ph i t n kém th i gian, chi phí, hi u ệ ả ố ờ ệ qu , m t d li u...ả ấ ữ ệ u Cho đ n nay hàng ch c nghìn lo i virus đã đ c ế ụ ạ ượ nh n d ng và c tính m i tháng có kho ng 400 ậ ạ ướ ỗ ả lo i virus m i đ c t o ra. ạ ớ ượ ạ 13 5 Câu h iỏ u Khái ni m sâu máy tính Wormệ u Tác h i ?ạ 14 5 WORM u Sâu máy tính (worms): sâu máy tính khác v i virus ch sâu máy tính không thâm ớ ở ỗ nh p vào file mà thâm nh p vào h ậ ậ ệ th ng. ố u Ví d : sâu m ng (network worm) t nhân ụ ạ ự b n trong toàn h th ng m ng.ả ệ ố ạ u Sâu Internet t nhân b n và t g i chúng ự ả ự ử qua h th ng Internet thông qua nh ng ệ ố ữ máy tính b o m t kém.ả ậ u Sâu email t g i nh ng b n nhân b n c a ự ử ữ ả ả ủ chúng qua h th ng email. ệ ố 15 5 Câu h iỏ u Khái ni m Trojanệ u Tác h iạ u Cách lây nhi mễ 16 5 TROJAN u Đ t tên theo truy n thuy t con ng a Trojan c a ặ ề ế ự ủ thành Troy u Là m t lo i ch ng trình nguy hi m (malware) ộ ạ ươ ể đ c dùng đ thâm nh p vào máy tính mà ng i ượ ể ậ ườ s d ng máy tính không hay bi t.ử ụ ế u Trojan có th cài đ t ch ng trình theo dõi bàn ể ặ ươ phím (keystroke logger) đ l u l i h t nh ng ể ư ạ ế ữ phím đã đ c gõ r i sau đó g i “báo cáo” v ượ ồ ử ề cho m t đ a ch email đ c quy đ nh tr c ộ ị ỉ ượ ị ướ (th ng là đ a ch email c a ch nhân c a ườ ị ỉ ủ ủ ủ Trojan). 17 5 TROJAN u Ng i s d ng máy tính b nhi m Trojan có th ườ ử ụ ị ễ ể b đánh c p m t kh u, tên tài kho n, s th tín ị ắ ậ ẩ ả ố ẻ d ng và nh ng thông tin quan tr ng khác.ụ ữ ọ u Ph ng pháp thông d ng đ c dùng đ cài ươ ụ ượ ể Trojan là g i nh ng email ng u nhiên v i n i ử ữ ẫ ớ ộ dung khuy n cáo ng i s d ng nên click vào ế ườ ử ụ m t đ ng link cung c p trong email đ đ n ộ ườ ấ ể ế m t website nào đó. Và n u ng i nh n email ộ ế ườ ậ tin l i và click thì máy tính c a h s t đ ng b ờ ủ ọ ẽ ự ộ ị cài Trojan. Không gi ng nh virus, Trojan không ố ư t nhân b n đ c. ự ả ượ 18 5 Câu h iỏ u Khái ni m Phishingệ u Tác h iạ u Hình th c t n côngứ ấ 19 5 PHISHING u Xu t hi n t năm 1996ấ ệ ừ u Gi d ng nh ng t ch c h p pháp ả ạ ữ ổ ứ ợ nh ngân hàng, d ch v thanh toán qua ư ị ụ m ng... đ g i email hàng lo t yêu ạ ể ử ạ c u ng i nh n cung c p thông tin cá ầ ườ ậ ấ nhân và thông tin tín d ng.ụ u N u ng i nào c tin và cung c p ế ườ ả ấ thông tin thì k l a đ o s dùng thông ẻ ừ ả ẽ tin đó đ l y ti n t tài kho n.ể ấ ề ừ ả 20 5 PHISHING u M t d ng l a đ o hay g p khác là ộ ạ ừ ả ặ nh ng email g i hàng lo t đ n ng i ữ ử ạ ế ườ nh n, tuyên b ng i nh n đã may ậ ố ườ ậ m n trúng gi i th ng r t l n, và yêu ắ ả ưở ấ ớ c u ng i nh n g i m t s ti n nh ầ ườ ậ ử ộ ố ề ỏ (vài nghìn dollar M ) đ làm th t c ỹ ể ủ ụ nh n gi i th ng (vài tri u dollar ậ ả ưở ệ M ).ỹ u Đã có n n nhân Vi t Nam.ạ ở ệ 21 5 PHISHING u M t nguy c khác xu t hi n nhi u g n ộ ơ ấ ệ ề ầ đây là nh ng k l a đ o t o ra nh ng ữ ẻ ừ ả ạ ữ website bán hàng, bán d ch v “y nh ị ụ ư th t” trên m ng và t i u hóa chúng trên ậ ạ ố ư Google đ “n n nhân” t tìm th y và mua ể ạ ự ấ hàng/d ch v trên nh ng website này.ị ụ ữ u Th c t , khi n n nhân đã ch n hàng/d ch ự ế ạ ọ ị v và cung c p đ y đ thông tin th tín ụ ấ ầ ủ ẻ d ng, n n nhân s không nh n đ c ụ ạ ẽ ậ ượ hàng/d ch v đã mua mà b đánh c p toàn ị ụ ị ắ b thông tin th tín d ng, d n đ n b m t ộ ẻ ụ ẫ ế ị ấ ti n trong tài kho n. ề ả 22 5 Các lo i khácạ u MALWARE u SPYWARE u ADWARE u DEMOWARE u NAGWARE u 23 5 Câu h iỏ u Theo anh ch , nh m b o v h th ng ị ằ ả ệ ệ ố m ng máy tính, ng i qu n tr ph i ạ ườ ả ị ả ti n hành công vi c gì ?ế ệ 24 5 Chính sách b o m tả ậ u Ph i mô t c th (văn b n) chính sách b o ả ả ụ ể ả ả m tậ u Tài s n nào c n b o v ? t i sao? Ai ch u trách ả ầ ả ệ ạ ị nhi m? các truy c p nào cho phép/ngăn c mệ ậ ấ l An ninh v t lý - Physical securityậ l An ninh m ng - Network securityạ l Quy n truy c p - Access authorizationsề ậ l Ngăn ch n vi rút - Virus protectionặ l Ph c h i thông tin - Disaster recoveryụ ồ 25 5 Mô t các thành ph n trongả ầ chính sách u Xác th c - Authenticationự l Nh ng ai đang truy xu t vào website?ữ ấ u Quy n truy c p - Access Controlề ậ l Nh ng ai đ c phép đăng nh p và truy ữ ượ ậ xu t thông tin trong websiteấ u B o mât - Secrecyả l Nh ng ai đ c phép xem các thông tin ữ ượ nh y c m, bí m tạ ả ậ 26 5 Mô t các thành ph n trongả ầ chính sách u Toàn v n d li u - Data integrityẹ ữ ệ l Ai đ c quy n c p nh t thông tin, d li uượ ề ậ ậ ữ ệ u Ki m tra-Theo dõi-Th ng kê (Audit)ể ố l Nh ng ai đã truy c p vào h th ng? khi ữ ậ ệ ố nào? bao lâu ? l NSD đã s d ng và truy nh p các tài ử ụ ậ nguyên nào ? 27 5 Câu h iỏ u Theo anh ch , chính sách b o m t ị ả ậ không t t có th d n đ n nh ng tác ố ể ẫ ế ữ h i gì trong vi c b o v quy n s h u ạ ệ ả ệ ề ở ữ trí tu ?ệ 28 5 M i đe d a v i s h u trí tuố ọ ớ ở ữ ệ u M ng Internet : tác nhân lôi kéo tình ạ tr ng (m i đe d a) v n đ b o v s ạ ố ọ ấ ề ả ệ ở h u trí tuữ ệ l D dàng thu th p và “tái t o”các thông tin, ễ ậ ạ s n ph m,.. tìm th y trên Internetả ẩ ấ l NSD không có ý th c v các qui đ nh b n ứ ề ị ả quy n cũng nh không có ch ý vi ph mề ư ủ ạ 29 5 The Copyright Website Home Page 30 5 M i đe d a v i s h u trí tuố ọ ớ ở ữ ệ u Cybersquatting (b t h p pháp)ấ ợ l Đăng ký 1 tên mi n v i th ng hi u c a 1 ề ớ ươ ệ ủ cá nhân hay 1 công ty khác u Cybersquatters : hy v ng ch nhân các công ọ ủ ty hay th ng hi u s tr ti n đ mua l i các ươ ệ ẽ ả ề ể ạ URL này u Vài Cybersquatters m o danh ch th ng ạ ủ ươ hi u nh m m c đích xuyên t c, l a d iệ ằ ụ ạ ừ ố 31 5 Câu h iỏ u Máy c a NSD có th b “t n công” ủ ể ị ấ b ng các “con đ ng” nào ?ằ ườ 32 5 Các m i đe d a ố ọ u Phía máy NSD l Active Content u Java applets, Active X controls, JavaScript, và VBScript u Các ch ng trình ch a các mã l nh thi hành, ươ ứ ệ mã thông d ch đ c nhúng vào các đ i t ng ị ượ ố ượ t i vả ề u M t s n i dung active có ý đ x u nhúng vào ộ ố ộ ồ ấ các trang web có v vô h iẻ ạ u Cookies : l u l i tên tài kho n, m t kh u và ư ạ ả ậ ẩ các thông tin tham kh o khácả 33 5 Java, Java Applets, và JavaScript u Java : ngôn ng l p trình c p cao đ c ữ ậ ấ ượ phát tri n b i Sun Microsystemsể ở u Mã Java có th ‘nhúng’ vào các thi t b ể ế ị gia d ng đ đi u khi n các ho t đ ng ụ ể ề ể ạ ộ c a thi t bủ ế ị u Các ng d ng d ng applets có th ứ ụ ạ ể đ c nhúng vào trang web và t i vượ ả ề u Đ c l p v i n n ph n c ng và h đi u ộ ậ ớ ề ầ ứ ệ ề hành 34 5 Ví d minh h a 1 Java Appletụ ọ 35 5 Sun’s Java Applet Page 36 5 Java, Java Applets, và JavaScript u Java sandbox l Bao g m các qui t c cùng 1 c ch đ các ồ ắ ơ ế ể applet ho t trong 1 môi tr ng hoàn toàn ạ ườ đ m b o an toànả ả l Các applet ch a đ c xác th c tính an ư ượ ự toàn bu c ph i ho t đ ng d i c ch nàyộ ả ạ ộ ướ ơ ế u Signed Java applets l Ch ký đi n t đ c nhúng trong applet đ ữ ệ ử ượ ể xác nh n tính xác th cậ ự 37 5 ActiveX Controls u ActiveX : là 1 “đ i t ng”, còn g i là ố ượ ọ “đi u khi n” ch a các ch ng trình, ề ể ứ ươ các thu c tính, th c hi n các nhi m v ộ ự ệ ệ ụ đã đ c thi t kượ ế ế u ActiveX : ch ho t đ ng trong môi ỉ ạ ộ tr ng Windows 95, 98,2K,XP,...ườ u M t khi đ c t i v , các đi u khi n ộ ượ ả ề ề ể ActiveX ho t đ ng nh 1 ch ng ạ ộ ư ươ trình : có toàn quy n truy xu t các tài ề ấ nguyên trên máy tính 38 5 ActiveX Warning Dialog box 39 5 Hình nh,các Plug-ins, vàả thông tin đính kèm theo E-mail u Kh năng cài đ t các mã l nh trong ả ặ ệ các nh đ h a gây h i máy tính!!ả ồ ọ ạ u Plug-ins : th ng đ c s d ng đ ườ ượ ử ụ ể th c hi n các thông tin multimedia ự ệ (audiovisual clips, animated graphics) l Có kh năng ch a các đo n mã l nh bên ả ứ ạ ệ trong đ i t ng v i m c đích x uố ượ ớ ụ ấ u Các thông tin đính kèm E-mail có kh ả năng ch a các macro h y di t bên ứ ủ ệ trong 40 5 Netscape’s Plug-ins Page Figure 5-7 41 5 Hi m h a t các kênh truy n ể ọ ừ ề thông u Secrecy Threats l Privacy : b o đ m thông tin riêng t không ả ả ư b ti t lị ế ộ l Đánh c p các thông tin nh y c m, các ắ ạ ả thông tin cá nhân l Đ a ch IP th ng b l khi duy t Webị ỉ ườ ị ộ ệ 42 5 Hi m h a t các kênh truy n ể ọ ừ ề thông u Anonymizer l Cung c p 1 m c đ b o m t có gi i h n ấ ứ ộ ả ậ ớ ạ khi s d ng nh 1 portal truy c p Internetử ụ ư ậ u u Toàn v n thông tin - Integrity Threatsẹ l T ng t hành đ ng nghe tr m đi n ươ ự ộ ộ ệ tho i(wiretapping)ạ l Thay đ i d li u trái phépổ ữ ệ u Ví d thay đ i l ng ti n g i/ti n rútụ ổ ượ ề ử ề 43 5 Anonymizer’s Home Page Figure 5-8 44 5 Hi m h a t các kênh truy n ể ọ ừ ề thông u Đáp ng yêu c u - Necessity Threatsứ ầ l Còn g i là delay/denial threats , DoSọ l Phá h y quá trình x lý c a MTĐTủ ử ủ u T ch i ti n trình x lýừ ố ế ử u X lý r t ch m!!!!ử ấ ậ u Xóa b t p tin hay xóa thông tin trong 1 giao ỏ ậ d ch/t p tinị ậ u Chuy n ti n t tài kho n này sang 1 tài kho n ể ề ừ ả ả khác !!!! 45 5 Câu h iỏ u Anh ch hãy đ a ra m t vài bi n pháp ị ư ộ ệ nh m b o v NSD khi truy c p Internetằ ả ệ ậ 46 5 An toàn m ng dành cho cá ạ nhân t b o v mìnhự ả ệ u Khi nh n spam ậ  xóa b h tỏ ế u Không click vào b t kỳ đ ng link nào ấ ườ trong email u Không m lên các file g i kèm trong ở ử email. u Đ ng tr l i nh ng email spamừ ả ờ ữ u Ngay c ch c năng “T ch i nh n” ả ứ ừ ố ậ (Unsubscription) cũng đã b l i d ng đ ị ợ ụ ể ng i g i spam ki m tra tính hi n h u ườ ử ể ệ ữ c a tài kho n email, ủ ả u Cài nh ng ch ng trình ch ng virus m i ữ ươ ố ớ nh t, c p nh t ch ng trình th ng ấ ậ ậ ươ ườ xuyên. 47 5 An toàn m ng dành cho cá ạ nhân t b o v mìnhự ả ệ u B qua m i email yêu c u cung c p thông tin cá ỏ ọ ầ ấ nhân. H u h t t t c đó đ u là trò l a đ o ho c ầ ế ấ ả ề ừ ả ặ có âm m u gián đi p (spyware) hay virus. Ngân ư ệ hàng hay d ch v thanh toán qua m ng không ị ụ ạ bao gi yêu c u thông tin “nh y c m” qua m ng ờ ầ ạ ả ạ Internet. N u có yêu c u thì đó ph i là form ế ầ ả nh p thông tin t website c a chính t ch c đó, ậ ừ ủ ổ ứ v i giao th c truy n an toàn (httpớ ứ ề s://) u N u cá nhân có th tín d ng và có mua qua ế ẻ ụ m ng thì ph i ki m tra k t ng kho n chi tiêu ạ ả ể ỹ ừ ả m i tháng đ c li t kê trong hóa đ n ngân hàng ỗ ượ ệ ơ g i v đ k p th i phát hi n s c n u có. ử ề ể ị ờ ệ ự ố ế 48 5 An toàn m ng dành cho cá ạ nhân t b o v mìnhự ả ệ u Khi nh n đ c nh ng email t ng i l ậ ượ ữ ừ ườ ạ v i nh ng file g i kèm thì ph i r t c n ớ ữ ử ả ấ ẩ th n. ậ u Trong khi l t web n u th y xu t hi n ướ ế ấ ấ ệ nh ng thông báo đ ngh cài đ t hay thông ữ ề ị ặ báo nào khác thì nên đ c k , không d ọ ỹ ễ dàng ch n “OK” hay “Yes”. ọ 49 5 An toàn m ng dành cho cá ạ nhân t b o v mìnhự ả ệ u Sau khi truy c p vào tài kho n email hay ậ ả tài kho n quan tr ng nào khác thì nh ả ọ ớ Log-off đ thoát hoàn toàn ra kh i trang ể ỏ web, tránh ng i khác dùng máy tính đó ườ trong vài phút sau có th truy c p vào ể ậ đ c. ượ u N u ph i dùng máy tính dùng chung thì ế ả không nên dùng ch c năng “Nh ứ ớ Password”. 50 5 Câu h iỏ u Anh ch th đ a ra 1 vài bi n pháp b o ị ử ư ệ ả v cho máy ph c vệ ụ ụ 51 5 Các m i đe d a v i máy ố ọ ớ ph c vụ ụ u Các ph n m m cài đ t càng m nh, ầ ề ặ ạ càng nhi u tính năng thì kh năng phát ề ả sinh l i càng nhi uỗ ề u Máy ph c v th ng ho t đ ng các ụ ụ ườ ạ ộ ở c p đ c quy n khác nhauấ ặ ề l C p cao nh p : cung c p đ y đ các ấ ấ ấ ầ ủ quy n truy xu t và tính uy n chuy n,m m ề ấ ể ể ề d oẻ l C p th p nh t : cung c p 1 hàng rào b o ấ ấ ấ ấ ả v (logic) xung quanh ch ng trình đang ệ ươ ho t đ ngạ ộ 52 5 Các m i đe d a v i máy ố ọ ớ ph c vụ ụ u Danh sách các th m c c a máy ph c ư ụ ủ ụ v xu t hi n trên trình duy t !!!!ụ ấ ệ ệ u Qu n tr site c n t t tính năng hi n ả ị ầ ắ ệ danh sách các folder nh m tránh hi m ằ ể h aọ u Truy n/phát các cookies v i s b o v ề ớ ự ả ệ nghiêm ng tặ 53 5 Danh m c các folder xu t hi nụ ấ ệ trên trình duy tệ 54 5 Các m i đe d a v i máy ố ọ ớ ph c vụ ụ u M t trong nh ng thông tin quan tr ng ộ ữ ọ đ c l u tr trên máy ph c v web : ượ ư ữ ụ ụ thông tin tài kho n NSD và m t kh uả ậ ẩ u Ng i qu n tr web ph i ch u trách ườ ả ị ả ị nhi m b o m t nh ng thông tin này và ệ ả ậ ữ các thông tin quan tr ng khácọ 55 5 Câu h iỏ u Doanh nghi p th c hi n TMĐT c n ệ ự ệ ầ quan tâm và t b o v nh th ự ả ệ ư ế nào ??? 56 5 B o v phía doanh nghi pả ệ ệ u Hacking: doanh nghi p nên th ng ệ ườ xuyên ki m tra ho t đ ng c a website ể ạ ộ ủ c a mình đ k p th i phát hi n s c ủ ể ị ờ ệ ự ố (website không hi n lên, gõ tên mi n ệ ề đúng mà không th y website c a mình ấ ủ hi n lên ho c hi n lên nh ng thông tin ệ ặ ệ ữ l ...). V i ba lo i r i ro th ng g p: ạ ớ ạ ủ ườ ặ 57 5 B o v phía doanh nghi pả ệ ệ l B t n công t ch i ph c v (DoS: Denial of ị ấ ừ ố ụ ụ Service): tr ng h p này n u doanh nghi p thuê ườ ợ ế ệ d ch v host thì doanh nghi p yêu c u nhà cung ị ụ ệ ầ c p d ch v host x lý. ấ ị ụ ử l B c p tên mi n: doanh nghi p có th t qu n lý ị ướ ề ệ ể ự ả password c a tên mi n ho c giao cho nhà cung ủ ề ặ c p d ch v qu n lý. ấ ị ụ ả l B xâm nh p host ho c d li u trái phép: n u ị ậ ặ ữ ệ ế doanh nghi p thuê d ch v host thì doanh nghi p ệ ị ụ ệ yêu c u nhà cung c p d ch v host x lý ph i nêu ầ ấ ị ụ ử ả rõ ph ng th c x lý, ph c h i khi g p s c này. ươ ứ ử ụ ồ ặ ự ố Cách th c thông th ng là nhà cung c p d ch v ứ ườ ấ ị ụ ph i đ nh kỳ back-up (sao l u) các file, d li u c a ả ị ư ữ ệ ủ website, và nhà cung c p d ch v ph i có ít nh t ấ ị ụ ả ấ hai host cùng lúc đ n u host này có s c thì ể ế ự ố chuy n sang host kia. ể 58 5 B o v phía doanh nghi pả ệ ệ u T b o v passwordự ả ệ : n u doanh ế nghi p có nh ng tài kho n quan tr ng ệ ữ ả ọ trên m ng (tài kho n v i nhà cung c p ạ ả ớ ấ d ch v x lý thanh toán qua m ng, tài ị ụ ử ạ kho n qu n lý tên mi n, tài kho n ả ả ề ả qu n lý host...) thì càng ít ng i bi t ả ườ ế password c a nh ng tài kho n này ủ ữ ả càng t t. Khi nhân viên n m tài kho n ố ắ ả này ngh vi c thì nên thay đ i ỉ ệ ổ password c a tài kho n. ủ ả 59 5 B o v phía doanh nghi pả ệ ệ u An toàn m ng n i bạ ộ ộ : n u doanh nghi p có ế ệ m ng n i b thì an toàn trong m ng n i b ạ ộ ộ ạ ộ ộ cũng ph i đ c l u ý. Doanh nghi p nên có ả ượ ư ệ quy đ nh s d ng m ng n i b , quy đ nh an ị ử ụ ạ ộ ộ ị toàn, phòng ch ng virus v.v... Vì n u m t máy ố ế ộ con trong m ng n i b b nhi m virus thì toàn ạ ộ ộ ị ễ b m ng s b nh h ng, gây h u qu gián ộ ạ ẽ ị ả ưở ậ ả đo n ho t đ ng, m t d li u v.v... ạ ạ ộ ấ ữ ệ u An toàn d li u, thông tinữ ệ : nh ng thông tin ữ quan tr ng không c n chia s cho nhi u ng i ọ ầ ẻ ề ườ thì không nên l u trên m ng n i b , ho c l u ư ạ ộ ộ ặ ư trong nh ng th m c có password b o v , nên ữ ư ụ ả ệ có b n back-up (sao l u) l u trên đĩa CD v.v... ả ư ư 60 5 Các m i đe d a v i CSDLố ọ ớ u Các thông in riêng t , có giá tr n u b ư ị ế ị ti t l : gây nh ng thi t h i không th ế ộ ữ ệ ạ ể bù đ p cho công tyắ u B o m t th c hi n thông qua quy n ả ậ ự ệ ề h n s d ng qui đ nhạ ử ụ ị u Nhi u ph n m m CSDL không có tính ề ầ ề b o m t cao và phó thác vào s b o ả ậ ự ả m t c a websiteậ ủ 61 5 Oracle Security Features Page 62 5 Các m i đe d a khácố ọ u Các m i đe d a t Common Gateway ố ọ ừ Interface (CGI) l N u không s d ng đúng cách, các ế ử ụ ch ng trình CGIs cũng là nh ng m i đe ươ ữ ố d a ti m nọ ề ẩ l Các ch ng trình CGI th ng l u trú nhi u ươ ườ ư ề n i trên Website và r t khó theo dõi , l n ơ ấ ầ d u v t đ phát hi n các sai sótấ ế ể ệ l CGI scripts không ho t đ ng nh ạ ộ ư JavaScript (v i c ch sandbox)ớ ơ ế 63 5 Các m i đe d a khácố ọ u Các đe d a t các ch ng trình bao ọ ừ ươ g m:ồ l Các ch ng trình ho t đ ng trên serverươ ạ ộ l L i tràn b đ m(Buffer overruns)ỗ ộ ệ l Gây tình tr ng “Runaway code segments”ạ u Sâu Internet (Internet Worm) là 1 hình thái c a ủ runaway code segment l T n công t các đo n mã xâm nh p b t ấ ừ ạ ậ ấ h p pháp t o tình tr ng”Buffer overflow” : ợ ạ ạ chúng tìm cách chi m d ng các đi u khi n ế ụ ề ể đã đ c xác th cượ ự 64 5 T n công d ng Buffer Overflowấ ạ 65 5 Computer Emergency Response Team (CERT) u Đ t t i Carnegie Mellon Universityặ ạ u Ch u trách nhi m theo dõi, phát hi n, ị ệ ệ c nh báo,... các v n đ an toàn , an ả ấ ề ninh trên m ngạ u G i các c nh báo (ử ả CERT alerts) đ n ế c ng đ ng Internet v các m i đe d a ộ ồ ề ố ọ b o m tả ậ 66 5 CERT Alerts 67 5 M t vài đ nghộ ề ị u N u là doanh nghi pế ệ l Thuê d ch v hosting (l u tr web), nhà cung c p ị ụ ư ữ ấ d ch v s ch u trách nhi m v vi c tăng c ng ị ụ ẽ ị ệ ề ệ ườ an toàn m ng, an toàn thông tin cho h , và có ạ ọ nghĩa là cho c website c a ta. ả ủ l Sau khi login (đăng nh p) vào h th ng qu n lý ậ ệ ố ả website (do nhà cung c p d ch v bàn giao l i ấ ị ụ ạ cho b n s d ng), luôn ph i th c hi n đ ng tác ạ ử ụ ả ự ệ ộ logout (thoát) đ đ m b o các c a ngõ ph i ể ả ả ử ả đ c khóa l i ngay sau khi thoát ra. ượ ạ 68 5 M t vài đ nghộ ề ị u N u là ng i muaế ườ l Không truy c p vào h th ng khi s d ng ậ ệ ố ử ụ máy tính công c ng. ộ l Không m nh ng email có file g i kèm ở ữ ử (attachment) mà ng i g i có v nh xa l . ườ ử ẻ ư ạ Th m chí đ ng tin nh ng email mang tên ậ ừ ữ ng i g i là Microsoft, Yahoo hay t ng t ườ ử ươ ự b i vì đây có th là th thu t gi danh c a ở ể ủ ậ ả ủ hacker đ l a . ể ừ 69 5 M t vài đ nghộ ề ị u Th 2, v m i lo ng i b ăn c p s th ứ ề ố ạ ị ắ ố ẻ tín d ng khi mua hàng trên m ng và ụ ạ bán hàng cho ng i dùng th tín d ng ườ ẻ ụ b t h p pháp (th b ăn c p). ấ ợ ẻ ị ắ l N u là ng i mua: ch nên mua hàng ế ườ ỉ ở nh ng website t t, tin c y.ữ ố ậ l Làm sao đ đánh giá website tin c y ? ể ậ 70 5 M t vài đ nghộ ề ị uTên tu i ng i bán ổ ườ uTrình bày gian hàng m t cách chuyên ộ nghi p, không có l i chính t , câu cú ệ ỗ ả rõ ràng v.v… uĐ c ph n About Us c a h đ tìm ọ ầ ủ ọ ể m t đ a ch văn phòng c th ộ ị ỉ ụ ể uĐ ng bao gi cung c p thông tin th ừ ờ ấ ẻ tín d ng cho các website khiêu dâm ụ trên m ng.ạ 71 5 M t vài đ nghộ ề ị u N u là ng i bán :ế ườ l Nên nh trung gian đ x lý th tín d ngờ ể ử ẻ ụ l Ph i tr môt kho n chi phí % d a trên doanh ả ả ả ự thu cho họ l Đ m b o k thu t.ả ả ỹ ậ l Thông th ng ph i g i hàng đi, khi ng i mua ườ ả ử ườ nh n đ c hàng ậ ượ m i đ c nh n ti n vào tài ớ ượ ậ ề kho n c a b nả ủ ạ l N u g p ph i th tín d ng b t h p pháp ế ặ ả ẻ ụ ấ ợ  s ẽ m t tr ng món hàng và m t m t kho n chi phí ấ ắ ấ ộ ả x lý th ử ẻ l Theo th ng kê, ch có kho n 3% giao d ch là ố ỉ ả ị g p ph i tr ng h p dùng th tín d ng giặ ả ườ ợ ẻ ụ ả l Kho n l i t vi c bán cho 97% khách hàng ả ờ ừ ệ trung th c cũng đ đ bù cho kho n m t mát ự ủ ể ả ấ trong 3% gian l n này. ậ 72 5 Bài Kỳ Sau Th c Hi n B o M t trongự ệ ả ậ Th ng M i Đi n Tươ ạ ệ ử