Về phạm vi áp dụng, Tài liệu hướng dẫn này được xây dựng nhằm mục đích cung cấp những kiến thức và chỉ dẫn kỹ thuật cơ bản về việc đảm bảo an toàn thông tin (ATTT) đối với hệ thống phần cứng và phần mềm thuộc cổng/trang thông tin điện tử (TTĐT), các yêu cầu thiết lập hệ thống phòng thủ và bảo vệ, qua đó giúp các đơn vị quản lý cổng/trang TTĐT có thể đánh giá mức độ ATTT và lựa chọn giải pháp phù hợp nhằm xây dựng một cổng/trang TTĐT an toàn.
Đối tượng áp dụng là các cổng/trang TTĐT của các cơ quan nhà nước và các doanh nghiệp được khuyến cáo tổ chức thực hiện áp dụng tối đa các biện pháp này trong điều kiện cụ thể cho phép. Dưới đây giới thiệu một số nội dung chính của tài liệu này.
Tổng quan về các biện pháp kỹ thuật cơ bản đảm bảo ATTT cho cổng/trang TTĐT
Một ứng dụng web nói chung hay cổng/trang TTĐT nói riêng khi triển khai được trên mạng Internet ngoài yếu tố mã nguồn ứng dụng web, còn có những thành phần khác như: máy chủ phục vụ web, hệ quản trị cơ sở dữ liệu,... Do vậy, một cổng/trang TTĐT an toàn đòi hỏi bản thân mã nguồn của cổng phải được lập trình an toàn, tránh các lỗi bảo mật xảy ra trên ứng dụng web và các thành phần bổ trợ như máy chủ phục vụ web và hệ quản trị cơ sở dữ liệu cho ứng dụng đó cũng phải đảm bảo an toàn.
Các biện pháp đảm bảo ATTT cho cổng/trang TTĐT cần được triển khai cho toàn bộ các thành phần của cổng/trang TTĐT, bao gồm các nội dung sau:
- Xác định cấu trúc web: giúp người quản trị xác định được mô hình thiết kế web của đơn vị, qua đó có biện pháp tổ chức mô hình web hợp lý, tránh được các khả năng tấn công leo thang đặc quyền.
- Triển khai hệ thống phòng thủ: gồm hai nội dung chính là tổ chức mô hình mạng hợp lý và tổ chức các hệ thống phòng thủ, giúp người quản trị có cách nhìn tổng quan về toàn bộ mô hình mạng của cổng/trang TTĐT của đơn vị mình, qua đó tổ chức mô hình mạng hợp lý cũng như thiết đặt các hệ thống phòng thủ quan trọng như tường lửa (firewall), thiết bị phát hiện/phòng, chống xâm nhập (IDS/IPS), tường lửa mức ứng dụng web (WAF – web application firewall).
- Thiết đặt và cấu hình hệ thống máy chủ an toàn: đây là một phần rất quan trọng trong việc đảm bảo vận hành một cổng/trang TTĐT an toàn. Nội dung này giúp người quản trị cấu hình hệ thống máy chủ một cách hợp lý, giảm thiểu khả năng bị tin tặc tấn công vào máy chủ làm ảnh hưởng đến hoạt động của cổng/trang TTĐT.
- Vận hành ứng dụng web an toàn: trình bày các nội dung cơ bản cần thực hiện để vận hành một ứng dụng web an toàn. Người quản trị có thể tham khảo phần “Mười lỗi ATTT phổ biến trên cổng/trang TTĐT” ở phần sau để qua đó nhận diện nguy cơ mắc lỗi của cổng/trang TTĐT tại đơn vị, có biện pháp khắc phục hợp lý hoặc sửa đổi mã nguồn web để loại bỏ các nguy cơ nói trên.
- Thiết đặt và cấu hình cơ sở dữ liệu an toàn: đây cũng là một phần rất quan trọng trong việc vận hành một cổng/trang TTĐT. Cơ sở dữ liệu là nơi lưu trữ toàn bộ dữ liệu quan trọng của cổng/trang TTĐT, vì vậy thường bị tin tặc tìm cách tấn công và khai thác. Nội dung này giúp người quản trị hiểu yêu cầu thiết đặt hợp lý cho cơ sở dữ liệu, tránh các lỗi có thể dẫn đến khả năng bị tấn công.
- Cài đặt các ứng dụng bảo vệ: Ngoài việc khắc phục lỗi cho các thành phần của một cổng/trang TTĐT, nội dung này đề cập tới việc cài đặt các ứng dụng bảo vệ như hệ thống chống virus (Anti – virus) hay hệ thống phát hiện xâm nhập máy tính (Host Based IDS) nhằm bảo vệ cổng/trang TTĐT một cách chủ động và tổng quát.
- Thiết lập cơ chế sao lưu và phục hồi: Việc thiết lập cơ chế sao lưu thường xuyên cho hệ thống nhằm giúp lưu lại các tình trạng khi hệ thống hoạt động ổn định. Các bản sao lưu này sẽ được sử dụng trong trường hợp kiểm tra lỗi hệ thống hoặc phục hồi hệ thống ở trạng thái trước khi bị tấn công trong trường hợp lỗi không thể khắc phục hay sửa chữa.
- Một số biện pháp kỹ thuật chống tấn công từ chối dịch vụ: đây là nội dung cuối cùng trong tài liệu này nhằm cung cấp định hướng nâng cao năng lực chống tấn công từ chối dịch vụ DoS và DDoS cho các cổng/trang TTĐT.
09:00 | 08/03/2024
Blockchain được xem là “chìa khóa” để xây dựng nền tảng công nghệ thông tin tương lai. Tuy nhiên, nếu không được kiểm soát và có sự định hướng của Nhà nước thì sự phát triển và lạm dụng ứng dụng của công nghệ này có thể gây phương hại đến an ninh quốc gia.
09:00 | 28/02/2024
Hiện nay, Mỹ đang đứng trước những thách thức và đe dọa trên không gian mạng bởi các nhóm tin tặc hoạt động tinh vi, có mức độ bao phủ rộng, chủ yếu tập trung vào cơ sở hạ tầng và hệ thống mạng của các tổ chức, doanh nghiệp và cơ quan chính phủ, gây nguy hại đến tình hình an ninh mạng quốc gia. Do vậy, Chính phủ Mỹ bên cạnh việc thiết lập những chính sách và giải pháp ngăn chặn thì cũng đã giao trọng trách cho Bộ Quốc phòng Mỹ (Department of Defense - DoD) xây dựng, hoạch địch chiến lược an ninh mạng chống lại các mối đe dọa. Bài báo sẽ đưa ra những nội dung chính trong bản tóm tắt về Chiến lược không gian mạng 2023 của DoD.
10:00 | 05/02/2024
Trong khoảng 10 năm trở lại đây, nhờ sự phát triển các công nghệ tiên tiến như học sâu (deep learning), dữ liệu lớn (big data), chip chuyên dụng cho AI, framework phần mềm nguồn mở,… nên trí tuệ nhân tạo (AI) đã nhanh chóng trở thành công nghệ mới nổi được ứng dụng rộng rãi. Tuy nhiên, công nghệ AI phát triển cũng kéo theo nhiều vấn đề về pháp lý, đạo đức và xã hội, khiến việc quản trị AI trở thành nội dung được quan tâm trong chính sách của các nước [1].
13:00 | 04/12/2023
Ngày 1/12 vừa qua, nhóm các nước công nghiệp phát triển (G7) đã công bố bộ quy tắc quốc tế toàn diện đầu tiên về hệ thống trí tuệ nhân tạo (AI) tiên tiến.