Về phạm vi áp dụng, Tài liệu hướng dẫn này được xây dựng nhằm mục đích cung cấp những kiến thức và chỉ dẫn kỹ thuật cơ bản về việc đảm bảo an toàn thông tin (ATTT) đối với hệ thống phần cứng và phần mềm thuộc cổng/trang thông tin điện tử (TTĐT), các yêu cầu thiết lập hệ thống phòng thủ và bảo vệ, qua đó giúp các đơn vị quản lý cổng/trang TTĐT có thể đánh giá mức độ ATTT và lựa chọn giải pháp phù hợp nhằm xây dựng một cổng/trang TTĐT an toàn.
Đối tượng áp dụng là các cổng/trang TTĐT của các cơ quan nhà nước và các doanh nghiệp được khuyến cáo tổ chức thực hiện áp dụng tối đa các biện pháp này trong điều kiện cụ thể cho phép. Dưới đây giới thiệu một số nội dung chính của tài liệu này.
Tổng quan về các biện pháp kỹ thuật cơ bản đảm bảo ATTT cho cổng/trang TTĐT
Một ứng dụng web nói chung hay cổng/trang TTĐT nói riêng khi triển khai được trên mạng Internet ngoài yếu tố mã nguồn ứng dụng web, còn có những thành phần khác như: máy chủ phục vụ web, hệ quản trị cơ sở dữ liệu,... Do vậy, một cổng/trang TTĐT an toàn đòi hỏi bản thân mã nguồn của cổng phải được lập trình an toàn, tránh các lỗi bảo mật xảy ra trên ứng dụng web và các thành phần bổ trợ như máy chủ phục vụ web và hệ quản trị cơ sở dữ liệu cho ứng dụng đó cũng phải đảm bảo an toàn.
Các biện pháp đảm bảo ATTT cho cổng/trang TTĐT cần được triển khai cho toàn bộ các thành phần của cổng/trang TTĐT, bao gồm các nội dung sau:
- Xác định cấu trúc web: giúp người quản trị xác định được mô hình thiết kế web của đơn vị, qua đó có biện pháp tổ chức mô hình web hợp lý, tránh được các khả năng tấn công leo thang đặc quyền.
- Triển khai hệ thống phòng thủ: gồm hai nội dung chính là tổ chức mô hình mạng hợp lý và tổ chức các hệ thống phòng thủ, giúp người quản trị có cách nhìn tổng quan về toàn bộ mô hình mạng của cổng/trang TTĐT của đơn vị mình, qua đó tổ chức mô hình mạng hợp lý cũng như thiết đặt các hệ thống phòng thủ quan trọng như tường lửa (firewall), thiết bị phát hiện/phòng, chống xâm nhập (IDS/IPS), tường lửa mức ứng dụng web (WAF – web application firewall).
- Thiết đặt và cấu hình hệ thống máy chủ an toàn: đây là một phần rất quan trọng trong việc đảm bảo vận hành một cổng/trang TTĐT an toàn. Nội dung này giúp người quản trị cấu hình hệ thống máy chủ một cách hợp lý, giảm thiểu khả năng bị tin tặc tấn công vào máy chủ làm ảnh hưởng đến hoạt động của cổng/trang TTĐT.
- Vận hành ứng dụng web an toàn: trình bày các nội dung cơ bản cần thực hiện để vận hành một ứng dụng web an toàn. Người quản trị có thể tham khảo phần “Mười lỗi ATTT phổ biến trên cổng/trang TTĐT” ở phần sau để qua đó nhận diện nguy cơ mắc lỗi của cổng/trang TTĐT tại đơn vị, có biện pháp khắc phục hợp lý hoặc sửa đổi mã nguồn web để loại bỏ các nguy cơ nói trên.
- Thiết đặt và cấu hình cơ sở dữ liệu an toàn: đây cũng là một phần rất quan trọng trong việc vận hành một cổng/trang TTĐT. Cơ sở dữ liệu là nơi lưu trữ toàn bộ dữ liệu quan trọng của cổng/trang TTĐT, vì vậy thường bị tin tặc tìm cách tấn công và khai thác. Nội dung này giúp người quản trị hiểu yêu cầu thiết đặt hợp lý cho cơ sở dữ liệu, tránh các lỗi có thể dẫn đến khả năng bị tấn công.
- Cài đặt các ứng dụng bảo vệ: Ngoài việc khắc phục lỗi cho các thành phần của một cổng/trang TTĐT, nội dung này đề cập tới việc cài đặt các ứng dụng bảo vệ như hệ thống chống virus (Anti – virus) hay hệ thống phát hiện xâm nhập máy tính (Host Based IDS) nhằm bảo vệ cổng/trang TTĐT một cách chủ động và tổng quát.
- Thiết lập cơ chế sao lưu và phục hồi: Việc thiết lập cơ chế sao lưu thường xuyên cho hệ thống nhằm giúp lưu lại các tình trạng khi hệ thống hoạt động ổn định. Các bản sao lưu này sẽ được sử dụng trong trường hợp kiểm tra lỗi hệ thống hoặc phục hồi hệ thống ở trạng thái trước khi bị tấn công trong trường hợp lỗi không thể khắc phục hay sửa chữa.
- Một số biện pháp kỹ thuật chống tấn công từ chối dịch vụ: đây là nội dung cuối cùng trong tài liệu này nhằm cung cấp định hướng nâng cao năng lực chống tấn công từ chối dịch vụ DoS và DDoS cho các cổng/trang TTĐT.
10:00 | 25/10/2024
Ước tính đến năm 2025, Việt Nam sẽ có hơn 20 triệu camera giám sát, trong đó, 90% camera tại Việt Nam xuất xứ từ Trung Quốc và chuyển dữ liệu ra nước ngoài.
07:00 | 14/10/2024
Chiều 08/10, tại phiên họp của Ủy ban Thường vụ Quốc hội, Bộ trưởng Bộ Thông tin và Truyền thông Nguyễn Mạnh Hùng đã trình bày về dự án Luật Công nghiệp công nghệ số, với mục tiêu đưa ngành Công nghiệp công nghệ số trở thành một trong những trụ cột chính của nền kinh tế Việt Nam. Việc ban hành Luật Công nghiệp công nghệ số không chỉ góp phần thúc đẩy sự phát triển chung của Ngành mà còn tạo môi trường pháp lý thuận lợi cho các doanh nghiệp công nghệ số trong nước, tạo đà cho các đột phá về công nghệ.
13:00 | 21/08/2024
Liên Hợp Quốc đã có một bước tiến quan trọng trong việc bảo vệ không gian mạng toàn cầu bằng việc thông qua Dự thảo Công ước về phòng chống tội phạm mạng.
16:00 | 04/08/2024
Với quyết tâm cao trong công cuộc chuyển đổi số nhằm bắt kịp, không bỏ lỡ “chuyến tàu 4.0”, thời gian qua, tỉnh Tuyên Quang cơ bản hoàn thành xây dựng chính quyền điện tử, từng bước chuyển dần sang chính quyền số cùng với chương trình đột phá trong cải cách hành chính. Việc bảo đảm an toàn, an ninh thông tin sẽ là một trong những nhiệm vụ cấp bách hàng đầu đặt ra cho đội ngũ cán bộ tham mưu của tỉnh, đặc biệt là lực lượng cơ yếu và đội ngũ cán bộ làm công tác cơ yếu, vừa phải đổi mới, năng động, sáng tạo vừa phải tích cực tham mưu cho cấp ủy, cơ quan các giải pháp bảo mật để đảm bảo an toàn thông tin, dữ liệu, phục vụ đắc lực cho thực hiện các nhiệm vụ chính trị của địa phương.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
