Đang tải... (xem toàn văn)
Một hệ thống thông tin được coi là an toàn khi thông tin không bị làm hỏng hóc, sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép. Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu. Mạng Internet vừa là một trợ thủ đắc lực và cũng là một hiểm họa to lớn cho những người dựa vào mạng để kinh doanh hay đơn giản là những rò rỉ thông tin đối với mỗi cá nhân. Các mạng lưới toàn cầu làm cho việc giao dịch giữa những khách hàng và công ty vô cùng thuận lợi thông qua trang web của công ty. Nhưng điều này cũng là một hiểm họa to lớn vì sự xâm nhập trái phép của những cá nhân hay những nhóm người có ý đồ xấu.
TRƯỜNG ĐẠI HỌC THƯƠNG MẠI KHOA HỆ THỐNG THÔNG TIN KINH TẾ & BÀI THẢO LUẬN Môn: An toàn bảo mật thông tin doanh nghiệp Đề tài: "Trình bày nguy cách phòng chống khắc phục cố đảm bảo an toàn thông tin ng dùng cá nhân môi trường internet nay" Giảng Viên hướng dẫn : Gv Nguyễn Thị Hội Nhóm : 11 Lớp : 1453eCIT0911 BẢNG TỰ ĐÁNH GIÁ XẾP LOẠI CÁ NHÂN Họ tên Mã SV Mai Thị Thùy 12D190034 Nguyễn Văn Thiện 12D190030 Hán Thu Thảo 12D190087 Lê Thị Phương Thảo 12D190219 Nguyễn Mộng Thúy 12D190033 Trần Thị Thảo 12D190028 Trần Thị Phương Thảo 12D190221 Vũ Thị Phương Thảo 12D190162 Vương Thị Thảo 12D190161 10 Nguyễn Thị Minh Thục 12D190224 Xếp loại Kí tên LỜI MỞ ĐẦU Trên thực tế biết ngày công nghệ thông tin đóng vai trò đặc biệt quan trọng tất ngành nhà nước, với tất nhân tổ chức Đặc biệt, công nghệ viễn thông phát triển nhanh Trong thông tin liệu chiến lược kinh doanh, thông tin khách hàng, nhà cung cấp tài chính, mức lương nhân viên, sách khắc phục,… tất lưu hệ thống máy tính Cùng với phát triển doanh nghiệp đòi hỏi ngày cao môi trường kinh doanh yêu cầu cá nhân hay tổ chức phải chia sẻ thông tin với nhiều đối tượng khác thông qua Interner Intranet, nên việc mát, rò rỉ thông tin khó mà tránh khỏi Chính thế, đảm bảo an toàn thông tin người dùng cá nhân nguy cách phòng chống cố vấn đề bật quan tâm Internet nơi an toàn Mà không internet loại mạng khác, mạng LAN, đến hệ thống máy tính bị xâm phạm Thậm chí, mạng điện thoại, mạng di động không nằm Vì nói rằng, phạm vi bảo mật lớn, không gói gọn máy tính quan mà toàn cầu Trong kinh tế toàn cầu hóa an toàn thông tin (ATTT) xem sống doanh nghiệp (DN) cá nhân Thế nhưng, DN, cá nhân nhận thức tầm quan trọng vấn đề bảo mật thông tin nguy xảy từ việc rò rỉ thông tin nội bộ, thông tin, liệu DN, cá nhân Mặt khác, tính chất, mức độ, phạm vi công vào hệ thống máy tính mạng ngày gia tăng chưa việc tiếp cận với kỹ thuật sử dụng công cụ công lại trở nên dễ dàng đơn giản Và cuối cùng, xuất phát từ động kiếm lợi trị mà tổ chức tài quan phủ trở thành mục tiêu hacker Đối với tài liệu có thông tin bí mật, nhạy cảm liên quan đến riêng tư, bí mật cá nhân… trao đổi, chia sẻ internet mà biện pháp để bảo vệ nguy bị ATTT vô lớn hậu việc ATTT lường Điều xảy tài liệu, thông tin lọt vào tay cá nhân, tổ chức có mục đích xấu? I 2.1 2.2 II Khái niệm an toàn bảo mật hệ thống thông tin An toàn thông tin Một hệ thống thông tin coi an toàn thông tin không bị làm hỏng hóc, sửa đổi, thay đổi, chép xóa bỏ người không phép Một hệ thống thông tin an toàn cố xảy làm cho hoạt động chủ yếu ngừng hẳn chúng khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu Bảo mật hệ thống: Khái niệm: Là trì tính bí mật, tính toàn vẹn tính sẵn sàng thông tin Mục đích: Tổ chức việc xử lý, ghi nhớ trao đổi thông tin cho tính bảo mật, toàn vẹn, sẵn sàng đáng tin cậy bảo đảm mức độ đầy đủ Vai trò bảo mật an toàn: Giữ vai trò quan trọng mức độ riêng tư thông tin cá nhân • Thông tin tài sản vật chất tinh thần cá nhân • Rủi ro thông tin cá nhân gây thất thoát tiền bạc, tài sản, hội thăng tiến công việc, ảnh hưởng đến đời sống công việc… cá nhân Các nguy dẫn đến An toàn thông tin ng dùng cá nhân môi trường Internet Nguy từ bên hệ thống Mạng Internet vừa trợ thủ đắc lực hiểm họa to lớn cho người dựa vào mạng để kinh doanh hay đơn giản rò rỉ thông tin cá nhân Các mạng lưới toàn cầu làm cho việc giao dịch khách hàng công ty vô thuận lợi thông qua trang web công ty Nhưng điều hiểm họa to lớn xâm nhập trái phép cá nhân hay nhóm người có ý đồ xấu 1.1 Hacker mũ trắng Nhóm xem người tốt Mặc dù hacker mũ trắng crack hệ thống họ không làm điều cho mục đích cá nhân Khi họ tìm thấy lỗ hổng mạng, họ báo cho chủ sở hữu mạng, nhà cung cấp phần cứng, nhà cung cấp phần mềm biết khắc phục.Họ không tiết lộ thông tin lỗ hổng hệ thống cộng đồng nhà cung cấp phát triển phát hành vá lỗi Hacker mũ trắng thuê tổ chức để kiểm tra độ an toàn hệ thống có giấy phép để truy cập Hacker mũ trắng am hiểu mạng, chương trình lỗ hổng tồn tìm thấy sửa lỗi Họ thường viết công cụ cracking riêng 1.2 Hacker mũ đen Trái với hacker mũ trắng, động hacker mũ đen mục đích mang lại lợi ích cho thân sở thích phá hoại họ Một hacker mũ đen không cần xin phép hệ thống cho việc đột nhập Mục tiêu họ hệ thống cụ thể, họ viết công cụ riêng, nói chung cố gắng xâm nhập thoát khỏi hệ thống mục tiêu mà không bị phát Họ người thành thạo hoạt động họ khó phát hiện, hacker mũ đen mối nguy hiểm cộng đồng 1.3 Hacker Mũ Xám Có thể liên tưởng hacker mũ xám hacker trung lập đen trắng, thực tế số lượng loại hacker gặp Một hacker mũ xám không đánh cắp thông tin cá nhân hay gây phiền phức lớn cho người quản trị, họ trở thành tội phạm mạng từ việc làm trái đạo đức Như đề cập, hacker mũ đen không cần xin phép hệ thống cho việc đột nhập, hacker mũ trắng có giấy phép để truy cập Hacker mũ xám không cần xin phép để cấp quyền đột nhập, họ thực trái phép hacker mũ đen, mục đích họ mục đích phạm tội, họ đột nhập vào hệ thống để thỏa mãn thân, trí tò mò, học hỏi kỹ để giúp họ trau dồi nhiều kiến thức hơn, quan trọng đạt nhiều đỉnh cao nghiệp làm hacker họ Tuy nhiên họ dễ dàng trở thành tội phạm mạng qua lần đột nhập vậy, ranh giới hacker mũ xám mũ đen mỏng nên họ cần cân nhắc thật kỹ hành động làm, hay chuẩn bị làm Tóm lại mũ đen mũ trắng hay mũ xám ám đến hành vi họ, bạn muốn trở thành hacker điều cốt yếu phải biết rõ việc làm, sẵn sàng đối diện với khả bị tìm dấu vết, nên tìm hiểu luật pháp quốc gia địa phuơng trước việc đáng tiếc xảy 1.4 Script Kiddies Các script kiddies gọi hacker "wannabes", tức người cố gắng tỏ hacker Họ gần kỹ lập trình mà hoàn toàn dựa vào công cụ người khác.Đa số họ nam giới có độ tuổi 30 họ xem hacker cấp thấp so với hacker khác Script kiddies không nhắm vào mục tiêu mạng cụ thể mà thay vào liên tục quét hệ thống để tìm lỗ hổng công Họ làm sập trang web, xóa tập tin hệ thống mục tiêu làm hệ thống mạng hoàn toàn bị tắt nghẽn Script kiddies thường không muốn giữ bí mật khai thác họ Trong thực tế, họ lại nạn nhân sử dụng phải tool có virus hacker cấp cao tạo 1.5 Cyber terrorists Cyber terrorist hacker có mục đích công ảnh hưởng đến lĩnh vực trị, tôn giáo, hay triết học Họ truyền bá niềm tin họ cách công để bôi nhọ trang web có tư tưởng đối lập với đức tin họ Do tình hình trị nay, họ hiểm họa lớn mà quốc gia phải đề phòng họ công chiếm quyền điều khiển đầu đạn hạt nhân, hệ thống giao thông sở xử lý nước v.v gây nên thảm họa chiến tranh Một số ví dụ cụ thể nguy hacker tạo : a) Đăng tải thông tin cá nhân: Cùng với phát triển internet, mạng xã hội blog, facebook, youtube, twitter, zingMe, google plus du nhập vào nước ta khoảng dăm năm thu hút hàng chục triệu người dùng Không thể phủ nhận tiện ích loại hình mang lại, song "con dao hai lưỡi" Các trang mạng xã hội thường yêu cầu bạn nhập nhiều thông tin thân để tiên lợi cho thành viên khác tìm kết nối với bạn.Có lẽ nguy lớn điều gây cho người dùng trang mạng khả bị giả mạo danh tính, thường xảy phổ biến Hơn nhiều thông tin cá nhân bạn đăng tải trực tuyển dễ dàng cho nhà cầm quyền xác định theo dõi hoạt động bạn Các hoạt động trực tuyến nhiều nhà hoạt động nhân quyền số quốc gia khiến thành viên gia đình họ bị theo dõi nhà cầm quyền sở Tự hỏi thân: liệu có cần thiết phải đăng tải thông tin sau lên mạng không? - ngày sinh - số điện thoại liên lạc - địa - chi tiết thông tin thành viên gia đình - giới tính - thông tin học vấn nghề nghiệp b) Tình trạng đánh cắp thông tin, mật cá nhân: Các chuyên gia bảo mật nhận định, mối đe dọa lớn hầu hết người dùng tình trạng đánh cắp nhận dạng truy cập, thu thập trái phép liệu từ việc họ tái sử dụng mật Việc bảo vệ môi trường Internet giống hành động diễn đời sống thường ngày Nếu bạn nhiều người dùng khác chẳng dùng chung chìa khóa cho tất ổ khóa cửa gia đình - việc sử dụng mật cho dịch vụ trực tuyến Cách để tự bảo vệ khỏi công đánh cắp liệu không tái sử dụng dùng chung mật Nếu cho bạn có nhiều mật phải nhớ hoạt động thường ngày tái sử dụng cho website quan trọng suy nghĩ hoàn toàn sai lầm Vì trang web không nhiều tiếp cận thông tin người dùng vô tình để lộ thông tin tên tuổi, địa chỉ, mã số thẻ tín dụng bạn Việc sử dụng mật đơn giản đặt bạn trước nguy bị rò rỉ thông tin cá nhân c) Nguy thông tin cá nhân, lừa đảo cài cắm mã độc vào hệ thống( lừa đảo qua mạng) Dưới số phương thức công : • Phishing Phishing hình thức công lừa đảo mà bạn gặp ngày Với hình thức lừa đảo này, hacker gửi email giả dạng ngân hàng, dịch vụ mà người dùng sử dụng, giả dạng tổ chức đáng tin cậy khác (Yahoo, Gmail ) Trong email lừa đảo, chúng yêu cầu người dùng cung cấp thông tin cá nhân, khuyến cáo người dùng click vào đường dẫn tới địa web mà chúng mong muốn, thường trang web xấu chứa nhiều mã độc Tấn công phishing thường thực thông qua hình thức: giả mạo đường dẫn (URL) giả mạo email gửi nguồn tin cậy • E-mail “ độc” E-mail công cụ mà kẻ xấu phát tán thư rác hacker ưa thích Chúng ta nghe nhiều câu chuyện tài khoản Twitter bị hack máy chủ web bị công Tất bắt nguồn từ nguyên nhân bản: nhân viên vô tình mở e-mail chứa mã độc Sự việc thật tồi tệ nạn nhân nhấn vào đường link chứa mã độc mở file đính kèm “độc hại” e-mail Chính bạn cần phải thận trọng nhấn vào đường link e-mail tuyệt đối không mở file đính kèm theo email không chắn chúng gửi từ nguồn đáng tin cậy • Giả mạo nâng cấp cảnh báo lỗi Khi lướt web, bạn hay gặp thông báo “dụ dỗ” cài đặt phần mềm lên máy tính Hình thức lừa gạt thường thực theo hai cách thông dụng: - Thông báo máy tính phần mềm máy tính người dùng cần phải nâng cấp để thêm tính tăng thêm đọ an toàn Thông báo trang web bị lỗi người dùng cần phải download phần mềm từ đường dẫn Cả cách dẫn tới đích chung cài đặt phần mềm độc hại vào máy tính người dùng - Tải tự động Những hình thức giả mạo cập nhật giả mạo cảnh báo phần xu hướng công người dùng phương pháp “ tải tự động” Nói cách dễ hiểu hơn, kiểu công bí mật cắm mã độc vào máy tính thông qua khai thác lỗ hổng phần mềm hệ thống - Tấn công Zero-day Zero-day kiểu công khai thác lỗ hổng phát chưa sửa lỗi máy tính.Bạn khó ngăn cản loại công trừ thiết lập mức độ bảo mật trình duyệt cấp cao 1.6 Những nguy từ virus máy tính Malware: • Chương trình quảng cáo (Adware): Mã độc làm trang pop-up, quảng cáo lướt web, gây khó chịu, phiền hà cho người sử dụng • Phần mềm gián điệp (Spyware): Được dùng để theo dõi, đánh cắp thông tin, liệu máy tính Những thông tin thông tin cá nhân người dùng, lịch sử trình duyệt, tên đăng nhập mật khẩu, file liệu lưu máy tính điều bị phần mềm chép gửi cho hacker qua Internet • Hijacker: Hoạt động chủ yếu trình duyệt web (Internet Explorer, Firefox, Chrome…) Chúng kiểm soát thay đổi cài đặt trình duyệt, thay đổi địa trang chủ, thêm công cụ không mong muốn, đưa đến website lạ chứa nhiều mã độc virus • Deepware: Tên loại mã độc hoạt động sâu vào hệ điều hành, làm cho hệ điều hành Window chạy chậm hay bị lỗi hệ thống • Ransomware: Là loại virus chúng khống chế máy tính, mã hoá liệu, bắt người dùng phải trả tiền mở máy tính Nguy từ bên hệ thống Những sơ suất kỹ thuật người dung nhầm lẫn truyền liệu, hay động tác nhấp “chuột” vô tình làm cho toàn liệu thương vụ giao dịch bị xoá bỏ, chương trình tệp liệu lưu trữ mà họ dầy công thiết kế xây dựng bị mất, gây thiệt hại cho cá nhân hay quan, tập thể có liên quan mặt tài Những yếu tố khách quan máy hỏng hay thời tiết xấu, nghẽn máy làm tê liệt hoạt động người dùng, tệ hại virus xâm nhập phá huỷ, đảo lộn toàn sở liệu lưu giữ hay ăn cắp thông tin tuyệt mật làm lộ thông tin , bí mật cá nhân, hội kinh doanh làm suy giảm uy tín của cá nhân hay doanh nghiệp họ II.1 Employee Threats (Các mối đe dọa từ nhân viên) Trong hầu hết trường hợp, thân họ người hiểu rõ hệ thống mạng mà họ sử dụng người Ít nhất, họ có quyền truy cập hợp pháp cho tài khoản người dùng người có quyền hạn truy cập khác Hầu hết nguy gây thiệt hại cá nhân người dùng thường vô ý, chẳng hạn như: • Trở thành nạn nhân kỹ thuật công xã hội, vô tình giúp hacker giành quyền truy cập mạng trái phép • Vô tình tiết lộ thông tin bí mật • Gây hư hại mức vật lý thiết bị, dẫn đến liệu • Sử dụng không chức hệ thống, vô tình xóa sửa đổi liệu Hầu hết mối đe dọa từ thân người dùng vô ý gây nên thiệt hại, mặt lý thuyết tránh thông qua tự tìm hiểu, có kiến thức tránh khỏi.Ví dụ, không nên viết mật ghi dán hình giúp ngăn ngừa xâm nhập mật khẩu.Tuy nhiên, bạn đối phó với người, giáo dục tốt đảm bảo bị lãng quên khoảng thời gian II.2 Accidents (những cố) Một kế hoạch bảo mật cần phải đảm bảo cố thể xảy do: • Sự cố điện lưới • Lỗi phần cứng • Thiên tai cháy lũ lụt • Lỗ hổng bảo mật: Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp pháp vào hệ thống Các lỗ hổng nằm dịch vụ cung cấp sendmail, web, ftp … Ngoài lỗ hổng tồn tại hệ điều hành Windows XP, Windows NT, UNIX; ứng dụng mà người sử dụng thường xuyên sử dụng Word processing, Các hệ databases III Cách phòng chống Phương pháp chung: • Tăng cường đầu tư hệ thống tường lửa (cả phần mềm, phần cứng), phần mềm phòng chống virus, chống xâm nhập, lây lan, phá hỏng liệu • Khi kết nối với giới bên ngoài, thiết bị quan trọng nên tường lửa cá nhân Không nên đâu Tường lửa cá nhân bảo vệ tài sản người dùng máy tính, doanh nghiệp, đảm bảo kết nối an toàn với mạng Internet mạng Có nhiều dạng tường lửa: phần mềm ứng dụng, chức đơn đa chức VPN, chống virus, IDS, lọc nội dung…, Với người dùng cá nhân, trước tiên nên sử dụng tường lửa Windows XP cài tường lửa miễn phí (freeware/shareware) • Cài cập nhật đặn phần mềm diệt virus: Khoảng chục năm trước, khả bị nhiễm virus thấp người có hội tiếp cận Internet phương tiện lưu trữ không đa dạng bây giờ, nguồn lây nhiễm thời trao đổi qua đĩa mềm Nhưng virus phát tán với tốc độ ánh sáng, nửa ngày máy tính khắp nơi giới bị đe doạ Virus sâu đoạn mã đính kèm file tái tạo để phát tán, thường file thi hành (.exe) macro (mặc dù gần có phát virus nằm file ảnh (jpg)) Virus vô hại thực phá hoại, trang bị chương trình chống virus điều bắt buộc phải cập nhật thường xuyên không vô ích • Gỡ bỏ file, chương trình dịch vụ không cần thiết Những file không cần thiết tiềm ẩn nguy an toàn, bị kẻ đột nhập khai thác Trong môi trường văn phòng dùng cá nhân, số chương trình mặc định không cần thiết Freecell, Hearts, Solitaire…, gửi tin 10 nhanh Messenger • Triển khai cài đặt mật khẩu, phần mềm mã hóa, khóa thư mục file liệu máy tính, tránh xâm nhập trái phép tin tặc người dùng nặc danh • Tăng cường đầu tư thiết bị bảo mật vòng lẫn vòng mạng LAN, WAN quan, đơn vị • Thường xuyên lưu sở liệu thông tin thuộc quyền quản lý • Thông báo cho Sở Thông tin Truyền thông biết tình hình mạng máy tính, sở liệu quan bị tin tặc công để có biện pháp khắc phục Phòng chống nguy bên ngoài: Hacker mũ trắng Trước tình hình an ninh mạng diễn biến ngày phức tạp, Bkav thành lập diễn đàn WhiteHat.vn Theo giới thiệu, WhiteHat.vn nhằm tạo phong trào học tập, nghiên cứu an ninh mạng, đồng thời cung cấp kiến thức chuyên sâu lĩnh vực an ninh mạng Reverse engineering, Malware, an toàn website… Những vấn đề chuyên môn SQL Injection, Buffer overflow… thường xuyên đưa thảo luận diễn đàn.Ngoài ra, WhiteHat.vn hỗ trợ cá nhân, quản trị mạng doanh nghiệp việc cập nhật thông tin, tổ chức xử lý vấn đề an ninh, an toàn thông tin gặp phải thực tế Và thực tế hacker mũ đen vô tình đóng vai trò người thầy cho cộng đồng chuyên gia bảo mật – hacker mũ trắng 1.1 1.2 Hacker mũ đen Trước có lực lượng mũ trắng đủ mạnh, theo chuyên gia an ninh mạng, trước mắt người dùng phải dùng công nghệ để chống lại công nghệ, sử dụng loạt biện pháp tổng thể, nhiều tầng lớp bảo vệ ngăn chặn "đội ngũ" hacker mũ đen 1.3 Script Kiddies Chọn nhà cung cấp dịch vụ có kinh nghiệm: Chắc bạn đồng ý làm việc với người có kinh nghiệm xương máu đỡ lo phải không ? Làm máy tính cá nhân: Ngay phát máy tính cá nhân bạn có vấn đề, xứ lý Website bạn lỗ hổng máy tính cá nhân bạn chứa vài trojan có chức keylogger (dạng chương trình ghi lại hoạt động bàn phím) xem an toàn không Mọi thông tin (có thể bao gồm thông tin quản lý tên miền) bạn phơi bày lên mạng Chọn nhà cung cấp hosting thật bảo mật: Hầu hết website bị hack từ website khác chung máy chủ Website bạn lỗi, 11 website khác chung máy chủ có lỗi, suy chắn bạn bị vạ lây nhà cung cấp dịch vụ hosting không bảo đảm riêng tư cho website bạn Nếu dư dả, bạn dùng riêng máy chủ & thuê chuyên gia bảo mật cấu hình cho bạn Đừng vội sử dụng công nghệ mới: Trừ công nghệ thực cần thiết Mọi thứ bao gồm nhiều lỗi Vì dụ đơn giản dễ hiểu là: Website sử dụng hệ sơ sở liệu MSSQL thường xuyên bị hack dính lỗi SQLInjection, cũ mềm MS Access lại chẳng bị lỗi Hãy để người khác test trước công nghệ đã, thấy an toàn dùng Cập nhật thông tin: Hãy thường xuyên cập nhật thông tin bảo mật Rà soát thường xuyên: Có website bạn bị hack từ lâu, hacker để lại "cửa sau" để dành lúc khác tay mạnh mẽ Rà soát thường xuyên website có ích Hãy cảm ơn: Nếu nhiên bạn nhận email từ người không quen biết thông báo website bạn có lỗ hổng Hãy hồi đáp với lời cảm ơn & vui bạn gặp hacker dễ thương 1.4 Cyberterrorists Ngoài việc cập nhật vá lỗi, firmware nhất, người dùng tốt nên tránh mở liên kết, email đáng ngờ Bạn không nên tin tưởng vào địa hiển thị theo cách rê chuột link lạ - hacker có đủ cách để dùng liên kết hợp lệ để thể đánh lừa bạn Cuối cùng, để tự bảo vệ mình, đảm bảo phần mềm chống virus, firewall thiết bị thiết kế để bảo vệ bạn nhận cập nhật Phòng chống nguy bên • Người dùng Hạn chế khai báo thông tin cá nhân, riêng tư, quan trọng lên trang mạng xã hội, trang web có độ tin cậy thấp Không lưu thông tin đăng nhập tài khoản cá nhân máy tính máy tính cá nhân Mật cho tài khoản sử dụng phải có độ phức tạp cao có chữ hoa, chữ thường, cá kí tự đặc biệt !, @, #, % thay đổi mật 3tháng/lần Sử dụng phần mềm ứng dụng quyền cập nhật phiên trang web thức ứng dụng • Lỗ hổng bảo mật Luôn update vá lỗi từ nhà sản xuất 12 Enable Firewall mở cổng cần thiết cho ứng dụng Có thiết bị IDS phát xâm nhập Có Firewall chống Scan Service chạy * Để đảm bảo bí mật giao dịch (cá nhân hay doanh nghiệp), người ta thường dùng biện pháp sau: a Mã hoá liệu • Mã hoá khoá bí mật (Secret key Crytography): Mã hoá khoá bí mật hay gọi mã hoá đối xứng, nghĩa dùng khoá cho hai trình “mã hoá” “giải mã” Khoá phải giữ bí mật • Mã hoá công khai (Public key Crytography): Mã hoá công khai hay gọi mã hoá không đối xứng Phương pháp người ta sử dụng hai khoá khác nhau, khoá công khai (Public key) khoá bí mật (Private key) Khoá công khai công bố, khoá bí mật giữ kín b Chữ ký điện tử Sử dụng chữ ký điện tử nhằm đảm bảo tính toàn vẹn, không bị sửa đổi người khác liệu giao dịch Chữ ký điện tử công cụ bảo mật an toàn Nó chứng xác thực người gửi tác giả thông điệp mà khác Không thế, chữ ký điện tử gắn với thông điệp điện tử đảm bảo thông tin đường chuyển không bị thay đổi người người ký ban đầu Mọi thay đổi dù nhỏ bị phát cách dễ dàng Chữ ký điện tử chữ ký tự đánh từ bàn phím, quét chữ viết tay; âm thanh, biểu tượng; thông điệp mã hoá hay dấu vân tay, giọng nói c Phong bì số (Digital Envelope) Tạo lập phong bì số trình mã hoá chìa khoá bí mật (chìa khoá DES) khoá công khai người nhận Chìa khoá bí mật dùng để mã hoá toàn thông tin mà người gửi muốn gửi cho người nhận phải chuyển cho người nhận để người nhận dùng giải mã thông tin d Cơ quan chứng thực (Certificate Authority- CA) 13 Cơ quan chứng thực tổ chức nhà nước tư nhân đóng vai trò người thứ đáng tin cậy thương mại điện tử để xác định nhân thân người sử dụng khoá công khai Sự xác nhận CA chữ ký điện tử, lai lịch người ký, thông điệp người ký tính toàn vẹn quan trọng giao dịch điện tử Cơ quan chứng thực có vai trò quan trọng, thương mại điện tử, bên tham gia không gặp mặt trực tiếp không quen biết nên cần có đảm bảo người thứ Hệ thống bảo mật đảm bảo độ an toàn cao, gần tuyệt đối, song việc thực phụ thuộc vào trình độ thực trạng sở hạ tầng tin học bên e Kiểm tra tính đắn chân thực thông tin giao dịch Mặc dù sử dụng biện pháp kỹ thuật để bảo mật thông tin giao dịch, song nhận thông tin người sử dụng phải kiểm tra tính đắn, chân thật thông tin Ví dụ đơn giản bạn sử dụng hình thức “giao dịch mạng” - loại hình giao dịch không biên giới có tính chất toàn cầu Các bên giao dịch không gặp nhau, chí không quen biết nhau, hội kẻ xấu lợi dụng để thực mục đích Vì vậy, việc kiểm tra tính đắn chân thật thông tin giao dịch cần phải thực thường xuyên để phòng tránh rủi ro thông tin gây nhiễu, giả mạo hay lừa đảo Các biện pháp kiểm tra cần tuỳ theo tình cụ thể mà áp dụng Có thể dùng phương pháp kỹ thuật phương pháp điều tra mang tính xã hội f Lưu trữ liệu nhiều nơi với nhiều hình thức Để đề phòng rủi ro hiểm hoạ thiên tai, cố bất ngờ hay hành động chiến tranh, khủng bố việc lưu trữ liệu thương mại điện tử nhiều nơi với nhiều hình thức việc làm có ý nghĩa Việc làm tạo an toàn liên tục hoạt động kinh doanh mạng g Cài đặt phần mềm chống Virus công Virus hiểm hoạ doanh nghiệp kinh doanh mạng Sự phá hoại virus lường hết 14 Virus máy tính đoạn mã lập trình ra, vô ý hay bất cẩn người sử dụng mà virus cài vào hệ thống Khi cài đặt vào hệ thống, tiến hành phá huỷ, đảo lộn toàn sở liệu doanh nghiệp lưu trữ máy tính hay ăn cắp thông tin chuyển thông tin cho người gửi virus Virus máy tính có độ phát tán nhanh ảnh hưởng phạm vi rộng Các virút có cấu tạo ngày phức tạp phá hoại ngày lớn với mức độ nghiêm trọng Vì để chống công virus máy tính doanh nghiệp kinh doanh mạng cần cài đặt phần mềm chống virus có hiệu thường xuyên cập nhật để chống virus IV Khắc phục cố Hầu hết cố cho dù nguy an toàn bên hay bên gây nên hậu chung là: thông tin cá nhân, mật bị đánh cắp, lừa đảo cài cắm mã độc vào hệ thống, mã hoá liệu suy giảm uy tín của cá nhân hay thiệt hại mặt tài nên có biện pháp chung khắc phục cố Cách xử lý chung: Với trường hợp phát bị công, trước tiên cá nhân, hệ thống,… bị công phải bình tĩnh Các chuyên gia khuyến cáo quản trị mạng cần đưa thông báo Sau đó, tạm dừng hoạt động để rà soát hệ thống sửa chữa Ngoài ra, quản trị mạng cần sử dụng phần mềm diệt virus để xóa loại backdoor hacker để lại, báo cho quan chức công ty bảo mật để tìm cách khắc phục * Một số ví dụ cho loại bị công sau: Khi website bị hack Một website khách hàng bị hack khách hàng cần bình tĩnh thực thao tác sau để kiểm tra xử lý: - Cách li website - Kiểm tra xác định thiệt hại - Nhận diện lỗ hổng - Xử lý bảo trì website - Đưa website trở lại hoạt động Bước 1: Cách li website Khi website khách hàng bị hack việc cần cách li website Kiểm tra backup website nhanh chóng báo cho phòng kỹ 15 thuật để phòng kỹ thuật cung cấp lại backup cho việc phục hồi kiểm tra website Việc giúp cho website khách hàng không bị tiếp tục công hacker website tiếp tục cung cấp nội dung bị sửa đổi cho người dùng Để thực khách hàng thay trang chủ nội dung “website bảo trì” Tiếp đến khách hàng cần kiểm tra tài khoản website, kiểm tra có tài khoản hacker tạo xóa Tránh hacker login vào với thông tin đăng nhập cũ Khách hàng cần đổi tất thông tin tài khoản bao gồm: tài khoản website, database, tài khaonr quản lý hosting, FTP.Sau thực tất thao tác khách hàng hoàn tất việc cách li website để tiến hành kiểm tra Bước 2: Kiểm tra xác định thiệt hại Bước kiểm tra mức độ thiệt hai website sau bị công Thông thường với dạng công deface hacker thay trang chủ website khách hàng thông báo cho khách hàng website bị hack Trường hợp ta cần xóa file “inlex” hacker thay lại file “index” gốc website website hoạt động bình thường Tuy nhiên, với số trường hợp tinh vi hơn, hacker chèn vào mã nguồn khách hàng đoạn mã hay script việc phát khó khăn Ngoài hacker upload shell lên website khách hàng để chiếm quyền điều khiển sau Với trường hợp khách hàng cần download toàn mã nguồn website máy tính local thực rà soát mã nguồn Nếu kiểm tra mã nguồn có đoạn mã lạ bị chèn vào hay file lạ upload lên khách hàng cần thực xóa Nếu khách hàng có backup website việc kiểm tra dễ dàng Dựa vào thông tin khách hàng dễ dàng thấy file bị sửa đổi hay tạo thực thêm số kiểm tra file Nếu website khách hàng có chứa database việc kiểm tra cụ thể liệu database cần thiết Bước 3: Nhận diện lỗ hổng Đây bước khó nhất, đòi hỏi kinh nghiệm kiến thức để kiểm tra xác nguyên nhân cách khắc phục Bài viết cung cấp cho khách hàng số bước để kiểm tra xác định nguyên nhân: 16 - Đầu tiên khách hàng kiểm tra access log hay error log tìm kiếm tất thông tin liên quan đến việc website bị công: Ví dụ website bị công dò mật khẩu, có số login không hợp lệ từ IP lạ , số file lạ upload FTP Dựa vào thông tin khách hàng kết luận khách hàng bị lộ mật hay hacker công băng cách khai thác lỗ hỗng bảo mật khác - Kiểm tra xem mã nguồn dùng có tồn lỗ hỗng bảo mật, module, plugin cài lên website có an toàn Nếu số lỗi bị khai thác tìm hiểu cách khai thác so sánh với access log để đưa kết luận - Kiểm tra số đoạn access log lạ từ tìm cách khai thai lỗ hỗng hacker Ví dụ thông thường để upload file lên website phải dùng phương thức POST, khách hàng dựa vào thông tin để rút ngắn lại phạm vi tìm kiếm nhằm xác định xác cách thức khai thác - Dùng số phần mềm kiểm tra bảo mật để quét lỗi bảo mật website Có thể kể đến Acunetix, Nikto, OpenVAS Bước 4: Xử lý bảo trì website Khi xác định xác nguyên nhân khách hàng cần có phương án xử lý Nếu xác định nguyên nhân lộ mật quản trị khách hàng cần đổi mật phức tạp tránh để lộ mật trình sử dụng Nếu lỗi mã nguồn khách hàng cần update mã nguồn lên phiên để fix lỗi bảo mật Ngoài khách hàng cần tránh dùng module hay plugin không rõ nguồn gốc cho website Nếu Module hay plugin bị khai thác khách hàng cần xóa plugin khỏi website Kiểm tra lần cuối để chắn website khách hàng bvà tạo backup để sử dụng cần thiết Bước 5: Đưa website trở lại hoạt động Ngay sau đưa website vào hoạt động lại khách hàng cần thường xuyên kiểm tra để xác định website an toàn không tiếp tục bị công Phishing - Bạn nên làm nghĩ nhận e-mail lừa đảo? Hãy dành chút thời gian để kiểm tra e-mail Điều quan trọng nhất, đừng click vào đường link e-mail hay cung cấp thông tin cá nhân Bởi máy tính bạn bị công phần mềm độc hại đơn 17 giản sau bạn vô tình ghé thăm trang web giả mạo Các trang snopes.com thường liệt kê danh sách dạng e-mail lừa đảo phổ biến Hãy truy cập vào website công ty mà bạn nhận e-mail từ liên hệ với phận dịch vụ khách hàng thông qua điện thoại trực tuyến để kiểm chứng tính hợp lệ e-mail Hãy chắn đảm bảo bạn có mật đủ tin cậy cho tài khoản việc sử dụng nhiều ký tự có kết hợp chữ hoa chữ thường, chữ số ký hiệu đặc biệt @ hay # Một lời khuyên hữu ích bạn định kỳ thay đổi mật cho tài khoản sử dụng Hãy thông báo thư lừa đảo để giúp nhận dạng thức chúng Nếu bạn sử dụng Windows Live Hotmail mà nhận e-mail giả mạo, bạn chọn menu thả xuống bên cạnh thư mục “Junk”, chọn nhãn “Report phishing scam” Và xin nhớ, dù bạn có làm nữa, không trả lời tới địa gửi Bạn thông báo e-mail giả mạo tới Anti-Phishing Working Group - Nên làm lỡ trả lời e-mail giả mạo cung cấp thông tin cá nhân mình? • Thông báo việc tới quan liên quan • Nếu bạn gửi thông tin thẻ tín dụng, liên hệ với công ty cung cấp dịch vụ thẻ tín dụng Công ty cung cấp biết việc xảy sớm, dễ dàng cho họ việc bảo vệ tài khoản bạn • Hãy liên hệ với công ty mà bạn cho tên tuổi họ bị lợi dụng để lừa đảo Xin nhớ liên hệ trực tiếp với họ, không qua địa e-mail mà bạn nhận Hoặc gọi điện thoại tới phận dịch vụ khách hàng công ty • Hãy thay đổi mật tất tài khoản trực tuyến bạn Nhiều người sử dụng chung mật cho nhiều account khác Hãy bắt đầu với mật tài khoản có liên quan đến thẻ tín dụng hay thông tin cá nhân bạn Nếu bạn nghi ngờ có truy cập vào tài khoảng e-mail bạn, thay đổi mật Xem lại bảng kê chi tiêu tín dụng, yêu cầu công ty cung cấp dịch vụ thẻ ngân hàng bạn cung cấp bảng kê hàng tháng thông báo khoản chi không rõ ràng, yêu cầu hay hoạt động mà bạn không yêu cầu • Cuối cùng, bạn chắn sử dụng sản phẩm bảo mật cập nhật nhất, dịch vụ chống thư rác thư giả mạo, lọc thư rác chương trình duyệt web dịch vụ khác giúp cảnh báo bảo vệ bạn trước nguy công thư lừa đảo Giải pháp khắc phục website bị nhiểm malware: 18 - Bước 1: Nhờ nhà cung cấp kiểm tra cấu hình bảo mật server, phần quyền thư mục website cấu hình bảo mật apache - Bước 2: Loại bỏ toàn outlink có phần vùng cho phép người xem đặt link Bước không hẳn giúp loại bỏ malware trực tiếp,nhưng giúp lọc lại website cách tốt - Bước 3: Loại bỏ tất mã quảng cáo mà bạn sử dụng wibsite Đợi iframe mà nhà cung cấp sử dụng google hiểu loại malware - Bước 4: Chuyển từ Telnet FTP sang SFTP Việc chuyển đổi giao thức upload giúp bạn chắn hacker dùng username passwword khai thác từ malware để sử dụng - Bước 5: Nếu tắt website Bước áp dụng trường hợp website bạn bị nhiễm malware nặng bạn xử lý loại bỏ malware thời gian ngắn Bạn nên tiến hành tắt website lệnh 503, điều giúp google không index thêm trang bạn tiết kiệm nhiều thời gian chờ đợi google review - Bước 6: Loại bỏ đường link chứa malware, bạn thông báo cho google biết website bạn tồn số đường link bị nhiễm mã độc bạn muốn loại bỏ chúng Bạn sử dụng công cụ URL Removal Tools webmaster tools để làm việc - Bước 7: Tiến hành sữa chữa trang bị nhiễm mã độc Malware không nhiễm toàn file mà chúng đặt file footer.php hay header.php Vì việc giúp malware lây nhiễm tất trang website mà không cần phải tốn nhiều công sức Bạn cần tìm đoạn mã lạ file xóa chúng - Bước 8: Sau bạn sữa chắn website không bị nhiễm malware bạn thông báo để google để họ review tiến hành index lại website Việc tiến hành Google Webmaster Tools với công cụ Request Review IV Những lưu ý biện pháp an toàn bảo mật cho hệ thống Những lưu ý: • Các điểm truy nhập hệ thống (Access Points) thường đóng vai trò quan trọng hệ thống điểm mà người sử dụng người công mạng quan tâm tới Thông thường điểm truy nhập thường phục vụ hầu hết người dùng mạng, không phụ thuộc vào quyền hạn dịch vụ mà người sử dụng dùng Do đó, điểm truy nhập thường thành phần có tính bảo mật lỏng lẻo Mặt khác, nhiều hệ thống cho 19 phép người sử dụng dùng dịch vụ Telnet, login để truy nhập vào hệ thống, dịch vụ có nhiều lỗ hổng bảo mật • Không kiểm soát cấu hình hệ thống chiếm tỷ lệ lớn số lỗ hổng bảo mật Ngày nay, có số lượng lớn phần mềm sử dụng, yêu cầu cấu hình phức tạp đa dạng hơn, điều dẫn đến khó khăn để người quản trị nắm bắt cấu hình hệ thống Để khắc phục tượng này, nhiều hãng sản xuất phần mềm đưa cấu hình khởi tạo mặc định, cấu hình không xem xét kỹ lưỡng môi trường bảo mật Do đó, nhiệm vụ người quản trị phải nắm hoạt động phần mềm sử dụng, ý nghĩa file cấu hình quan trọng, áp dụng biện pháp bảo vệ cấu sử dụng phương thức mã hóa hashing code (MD5) • Những bug phần mềm tạo nên lỗ hổng dịch vụ hội cho hình thức công khác xâm nhập vào mạng; Các chương trình trojans virus ví dụ cụ thể Do đó, người quản trị phải thường xuyên cập nhật tin tức nhóm tin bảo mật từ nhà cung cấp phần mềm để phát lỗi phần mềm sử dụng Khi phát có bug cần thay ngừng sử dụng phần mềm chờ nâng cấp lên phiên • Một hệ thống chịu công từ mạng, mà bị công từ bên Có thể vô tình cố ý, hình thức công bên mạng thường xảy số hệ thống lớn Chủ yếu với hình thức công bên mạng người công tiếp cận mặt vật lý thiết bị hệ thống, đạt quyền truy nhập không hợp lệ hệ thống • Sau thiết lập sách bảo mật, hoạt động lựa chọn phương án thực thi sách bảo mật Một sách bảo mật hoàn hảo có tính thực thi cao Để đánh giá tính thực thi này, có số tiêu chí để lựa chọn là: - Tính đẵn Đây tiêu chí quan trọng để lựa chọn sách bảo mật Nó đảm bảo cho thành công sách Ví dụ, hệ thống thường xuyên có nguy bị công từ bên ngoài, sách bảo mật cần phải đảm bảo kiểm soát truy nhập khách hàng vào hệ thống việc xây dựng thủ tục quản lý tài khoản người dùng chặt chẽ kỹ - Tính thân thiện Một sách bảo mật cần thiết lập công cụ bảo mật thân thiện với người quản trị dễ dàng thực thi sách bảo mật Đồng thời, đảm bảo biện pháp bảo mật hệ thống không làm khó khăn bất tiện người sử dụng Ví dụ, sách nhằm kiểm tra tính hợp lệ khách hàng truy nhập vào hệ thống; sách bảo vệ mật yêu cầu khách hàng 20 đối mật thời gian xác định… sách phải có tính “trong suốt” khách hàng sử dụng hệ thống - Tính hiệu Sau cùng, sách bảo mật định nhà quản lý; họ quan tâm đến hiệu mà sách mang lại Một sách bảo mật đảm bảo hệ thống an toàn, tin cậy, lại cần có chi phí cao so với lợi nhuận mà hệ thống đem lại không định thực thi Tuy nhiên, khía cạnh khác, sách đem lại hiệu ngay, cần xem xét mức độ chi phí bảo mật hệ thống thời gian dài với lợi nhuận khác đem lại từ hệ thống bảo mật nâng cao chất lượng dịch vụ tính ổn định hệ thống, … * Lời khuyên cho người dùng cuối - Người dùng cuối nên cảnh giác liệu bị lộ cho bên thứ ba sử dụng nhà cung cấp dịch vụ có chứa lỗ hổng bảo mật - Theo dõi để biết thông báo từ nhà cung cấp dịch vụ bạn sử dụng Khi nhà cung cấp dịch vụ liên hệ thông báo với người dùng nên thay mật khẩu, người dùng nên làm - Tránh email lừa đảo từ kẻ công yêu cầu bạn cập nhật mật khẩu, tránh truy nhập vào website lạ, nên truy nhập vào tên miền thống - Sử dụng dịch vụ website uy tín họ người vá lỗ hổng bảo mật - Theo dõi tài khoản ngân hàng thẻ tín dụng để phát khoản chi tiêu bất thường * Lời khuyên khác - Tránh truy nhập vào tên miền lạ với phần mềm trình khách - Ngừng sử dụng dịch vụ proxy chưa vá lỗi - Cập nhật phần cứng phần mềm nhà sản xuất công bố vá - Sử dụng trình khách VPN dịch vụ đảm bảo không bị ảnh hưởng Heartbleed truy nhập mạng công cộng IV Liên hệ thực tế Mới đây, ngày đầu tháng năm 2014, theo tin tức tờ báo kênh truyền thông lớn Mỹ, Chuỗi siêu thị Home Depot phải khẩn cấp làm việc với ngân hàng nhà điều tra có thông tin bọn tội phạm công vào hệ thống máy chủ Hãng kể từ hồi tháng năm Thông tin làm nhiều người nhớ lại vụ việc 40 triệu tài khoản thẻ khách hàng bị lấy cắp Chuỗi siêu thị Target vào cuối năm 2013 Nếu thông tin nêu xác số thiệt hại vụ việc Home Depot lớn nhiều lần dự đoán thời gian hệ thống Home Depot bị tin tặc công vòng tháng, lâu so với thời gian tuần Target số lượng điểm bán hàng 21 Home Depot 1977 – nhiều so với 1795 cửa hàng Target nước Mỹ Trước không lâu, vào đầu tháng năm 2014, Tạp chí Times Mỹ đưa tin việc nhóm tin tặc Châu Âu công vào lỗ hổng website ăn cắp thông tin cá nhân tỷ người tiêu dùng toàn cầu Vụ việc đánh giá vụ việc đánh cắp thông tin cá nhân có quy mô lớn từ trước đến bị phát Theo hãng công nghệ Hold Security thông tin bị đánh cắp nhóm tội phạm sử dụng để spam trang mạng xã hội cho bên thứ ba để thu lợi Tại Việt Nam, đầu tháng năm nay, với chứng rõ ràng từ phía chuyên gia người tiêu dùng, hãng điện thoại Trung Quốc Xiaomi thừa nhận hành vi thu thập liệu trái phép từ điện thoại người dùng máy chủ Trung Quốc Theo đó, sau kiểm tra, chuyên gia Công ty an ninh mạng Bkav khẳng định mẫu điện thoại Redmi Note có thu thập thông tin người sử dụng Cụ thể, người dùng mua Redmi về, đơn giản lắp SIM vào máy, kết nối mạng, thêm số liên lạc, thực vài điện thoại trao đổi tin nhắn thông tin tên nhà mạng, số liên lạc, tin nhắn SMS chuyển tiếp đến máy chủ Xiaomi có địa api.account.xiaomi.com Các vụ việc thông tin cá nhân liên tục bị đánh cắp xảy phạm vi toàn giới tiếp tục làm dấy lên lo ngại nhiều bên tham gia vào giao dịch tiêu dùng (đặc biệt giao dịch trực tuyến) diễn hàng ngày, hàng phạm vi toàn cầu Thông tin cá nhân thời đại kỹ thuật số bao gồm nhiều trường thông tin, đặc biệt quan trọng thông tin liên quan đến tài (số thẻ tín dụng, số tiền tài khoản, khoản nợ…), đến số định danh (mã số công dân, số chứng minh thư) thông tin cá nhân khác ngày sinh, số điện thoại, địa liên hệ… người tiêu dùng Những thiệt hại phát sinh từ việc thông tin cá nhân bị đánh cắp có quy mô lớn ảnh hưởng tiêu cực tới nhiều bên kinh tế Ngay sau có thông tin việc hệ thống liệu có khả bị đột nhập, cổ phiếu Home Depot giảm 2% dự đoán giảm mạnh thông tin cập nhật vụ việc tiếp tục xác minh Hệ thống siêu thị Target phải chứng kiến lượng khách hàng đến mua sắm giảm mạnh hai quý gần Target phải điều chỉnh giảm lợi nhuận kỳ vọng lần thứ hai năm ghi nhận mức lợi nhuận giảm 62% so với kỳ năm trước 22 Theo đánh giá Công ty an ninh mạng IntelCrawwler, thiệt hại tin tặc gây cho ngân hàng nhà bán lẻ Mỹ lớn, gần 20 tỷ USD hàng triệu người tiêu dùng bị tỷ USD mà không thu hồi hàng năm Đi kèm với đó, thường sau công, ăn trộm thông tin cá nhân, đơn vị liên quan ngân hàng hay sở buôn bán kinh doanh phải đầu tư kinh phí để nâng cấp, cải thiện công nghệ Những khoản chi phí thường lớn ảnh hưởng không nhỏ tới ngân sách hoạt động doanh nghiệp Báo cáo Trung tâm Nghiên cứu chiến lược quốc tế (CSIS) phối hợp với công ty bảo mật McAfee thực công bố ngày 9/6/2014 cho thấy, công mạng khiến kinh tế toàn cầu thiệt hại khoảng 445 tỷ USD năm, bao gồm 350.000 việc làm bị Mỹ châu Âu Nhưng số thiệt hại tài nêu bề tàn phá vụ đánh cắp thông tin cá nhân mang lại Thiệt hại thật mà phải lâu sau công ty khôi phục lại niềm tin, uy tín thương hiệu mà công ty dày công tạo lập suốt trình hoạt động trước Cho đến nay, chưa có số liệu thống kê thức thiệt hại hành vi “ăn cắp” thông tin cá nhân gây Việt Nam Tuy nhiên, đối chiếu, đánh giá mức độ an toàn thông tin cá nhân giao dịch tiêu dùng Việt Nam so với nước vào mức độ, số lượng vụ việc diễn hình dung phần thiệt hại hành vi tới kinh tế tới người tiêu dùng cụ thể Như vậy, dù quy mô quốc gia, khu vực hay toàn cầu hành vi xâm nhập thu thập trái phép thông tin cá nhân không tác động tiêu cực tới người tiêu dùng mà dẫn đến thiệt hại vật chất kinh tế quan trọng làm giảm lòng tin, thay đổi hành vi người tiêu dùng từ tác động xấu tới phát triển kinh tế 23 KẾT LUẬN Như biết, nhiều tổ chức, doanh nghiệp, cá nhân thông tin liệu đóng vai trò quan trọng đời sống có ảnh hướng tới tồn vong họ Vì vậy, việc bảo mật thông tin liệu điều vô cần thiết, bối cảnh hệ thống thông tin ngày mở rộng trở nên phức tạp dẫn đến tiềm ẩn nhiều nguy không lường trước Trên tìm hiểu an toàn thông tin, đảm bảo an toàn thông tin, biết thực trạng an toàn thông tin người dùng cá nhân môi trường internet nguy dẫn đến an toàn thông tin cách phòng chống khắc phục cố Trước tình hình an ninh mạng diễn biến phức tạp xuất nhiều nguy đe dọa đến việc phát triển kinh tế xã hội đảm bảo quốc phòng, an ninh cá nhân hay tổ chức cần tích cực việc đảm bảo an toàn thông tin 24 Tài liệu tham khảo Giáo trình An toàn bảo mật thông tin, TS Trần Văn Dũng, Trường Đại học Giao thông Vận tải, 2010 123doc.vn luanvan.co tailieu.vn 25 [...]... sự tồn vong của họ Vì vậy, việc bảo mật những thông tin và dữ liệu đó là điều vô cùng cần thiết, nhất là trong bối cảnh hiện nay các hệ thống thông tin ngày càng được mở rộng và trở nên phức tạp dẫn đến tiềm ẩn nhiều nguy cơ không lường trước được Trên đây chúng ta đã được tìm hiểu về an toàn thông tin, đảm bảo an toàn thông tin, biết được thực trạng về an toàn thông tin đối với người dùng cá nhân trong... nguy cơ dẫn đến mất an toàn thông tin và cách phòng chống khắc phục sự cố Trước tình hình mất an ninh mạng đang diễn biến phức tạp và xuất hiện nhiều nguy cơ đe dọa đến việc phát triển kinh tế xã hội và đảm bảo quốc phòng, an ninh như hiện nay thì cá nhân hay tổ chức cần tích cực hơn nữa trong việc đảm bảo an toàn thông tin 24 Tài liệu tham khảo 1 Giáo trình An toàn và bảo mật thông tin, TS Trần Văn Dũng,... thống; những chính sách về bảo vệ mật khẩu như yêu cầu khách hàng 20 đối mật khẩu trong một thời gian xác định… các chính sách này phải có tính “trong suốt” đối với khách hàng sử dụng hệ thống - Tính hiệu quả Sau cùng, một chính sách bảo mật được quyết định bởi các nhà quản lý; họ quan tâm đến hiệu quả mà chính sách đó mang lại Một chính sách bảo mật có thể đảm bảo hệ thống an toàn, tin cậy, nhưng lại cần...nhanh Messenger • Triển khai cài đặt mật khẩu, các phần mềm mã hóa, khóa thư mục và file dữ liệu máy tính, tránh sự xâm nhập trái phép của tin tặc và người dùng nặc danh • Tăng cường đầu tư thiết bị bảo mật cả vòng trong lẫn vòng ngoài các mạng LAN, WAN của cơ quan, đơn vị mình • Thường xuyên sao lưu các cơ sở dữ liệu thông tin thuộc quyền quản lý của mình • Thông báo ngay cho Sở Thông tin và... huỷ, đảo lộn toàn bộ cơ sở dữ liệu của doanh nghiệp được lưu trữ trong máy tính hay ăn cắp những thông tin và chuyển những thông tin đó cho người gửi virus Virus máy tính có độ phát tán nhanh và ảnh hưởng trong một phạm vi rộng Các virút có cấu tạo ngày càng phức tạp và sự phá hoại ngày càng lớn với mức độ nghiêm trọng Vì vậy để chống sự tấn công của virus máy tính các doanh nghiệp kinh doanh trên mạng... việc thông tin cá nhân liên tục bị đánh cắp xảy ra trên phạm vi toàn thế giới đang tiếp tục làm dấy lên sự lo ngại của nhiều bên khi tham gia vào các giao dịch tiêu dùng (đặc biệt là các giao dịch trực tuyến) đang diễn ra hàng ngày, hàng giờ trên phạm vi toàn cầu Thông tin cá nhân trong thời đại kỹ thuật số bao gồm nhiều trường thông tin, trong đó đặc biệt quan trọng là các thông tin liên quan đến tài... kiếm tất cả các thông tin liên quan đến việc website bị tấn công: Ví dụ như website bị tấn công dò mật khẩu, có một số login không hợp lệ từ IP lạ , một số file lạ được upload bằng FTP Dựa vào các thông tin trên khách hàng có thể kết luận khách hàng bị lộ mật khẩu hay hacker tấn công băng cách khai thác các lỗ hỗng bảo mật khác - Kiểm tra xem mã nguồn đang dùng có đang tồn tại lỗ hỗng bảo mật, các module,... kiến thức chuyên sâu về lĩnh vực an ninh mạng như Reverse engineering, Malware, an toàn website… Những vấn đề chuyên môn như SQL Injection, Buffer overflow… sẽ thường xuyên được đưa ra thảo luận tại diễn đàn.Ngoài ra, WhiteHat.vn cũng hỗ trợ các cá nhân, quản trị mạng của doanh nghiệp trong việc cập nhật thông tin, tổ chức xử lý những vấn đề về an ninh, an toàn thông tin gặp phải trong thực tế Và thực... bên ngoài, một chính sách bảo mật cần phải đảm bảo kiểm soát được các truy nhập của khách hàng vào hệ thống bằng việc xây dựng các thủ tục quản lý tài khoản người dùng chặt chẽ và kỹ càng - Tính thân thiện Một chính sách bảo mật cần thiết lập các công cụ bảo mật thân thiện với người quản trị và dễ dàng thực thi các chính sách bảo mật Đồng thời, còn đảm bảo các biện pháp bảo mật trên hệ thống không làm... hổng bảo mật Luôn update các bản vá lỗi mới nhất từ nhà sản xuất 12 Enable Firewall chỉ mở những cổng cần thiết cho các ứng dụng Có thiết bị IDS phát hiện xâm nhập Có Firewall chống Scan các Service đang chạy * Để đảm bảo sự bí mật trong giao dịch (cá nhân hay doanh nghiệp) , người ta thường dùng những biện pháp sau: a Mã hoá dữ liệu • Mã hoá khoá bí mật (Secret key Crytography): Mã hoá khoá bí mật hay ... dùng chặt chẽ kỹ - Tính thân thiện Một sách bảo mật cần thiết lập công cụ bảo mật thân thiện với người quản trị dễ dàng thực thi sách bảo mật Đồng thời, đảm bảo biện pháp bảo mật hệ thống không... việc xử lý, ghi nhớ trao đổi thông tin cho tính bảo mật, toàn vẹn, sẵn sàng đáng tin cậy bảo đảm mức độ đầy đủ Vai trò bảo mật an toàn: Giữ vai trò quan trọng mức độ riêng tư thông tin cá nhân •... phạm vi bảo mật lớn, không gói gọn máy tính quan mà toàn cầu Trong kinh tế toàn cầu hóa an toàn thông tin (ATTT) xem sống doanh nghiệp (DN) cá nhân Thế nhưng, DN, cá nhân nhận thức tầm quan trọng