BÁO CÁO KẾT THÚC HỌC PHẦN AN TOÀN BẢO MẬT THÔNG TIN TÊN ĐỀ TÀI PHÂN TÍCH TÍNH AN TOÀN BẢO MẬT THÔNG TIN WEBSITE BÁN ĐỒ THỜI TRANG NỮ Sinh viên Thực hiện Hoàng Kim Quyết MSSV 2034801040017 Hoàng Ngọc Hải MSSV 203480104004 Trần Thị Oanh MSSV 2034801040013 Lê Khắc Hận MSSV 203480104005 Huỳnh Hoa Tiên MSSV 2034801040022 Nguyễn Thị Hường MSSV 203480104006 Ngành Hệ thống thông tin Giảng viên hướng dẫn TS Nguyễn Minh Sơn CHƯƠNG 1 TỔNG QUAN VỀ AN NINH MẠNG 1 Bảo vệ thông tin 1 1 Tính sẵn sàng Luôn luô.
Trang 1Sinh viên Thực hiện :
Hoàng Kim Quyết MSSV: 2034801040017 Hoàng Ngọc Hải MSSV: 203480104004 Trần Thị Oanh MSSV: 2034801040013
Lê Khắc Hận MSSV: 203480104005 Huỳnh Hoa Tiên MSSV: 2034801040022 Nguyễn Thị Hường MSSV: 203480104006 Ngành: Hệ thống thông tin
Giảng viên hướng dẫn: TS Nguyễn Minh Sơn
Trang 2CHƯƠNG 1 TỔNG QUAN VỀ AN NINH MẠNG
1 Bảo vệ thông tin
1.1 Tính sẵn sàng
Luôn luôn sẵn sàng khi cần thiết
Có một hệ thống điều khiển bảo mật sử dụng để bảo vệ nó, và kênh kết nối sử dụng để truy cập nó phải luôn hoạt động chính xác
Hệ thống có tính sẵn sàng cao hướng đến sự sẵn sàng ở mọi thời điểm, tránh được những rủi ro cả về phần cứng, phần mềm như: sự cố mất điện, hỏng phần cứng, cập nhật, nâng cấp hệ thống…
Có tính sẵn sàng
HỆ THỐNG:
Truy cập hệ thống dễ dàng qua: Fsshop.somee.com
Hệ thống hoạt động chính xác, xuyên suốt
Trang 3- Tính sẵn sàng chưa cao, vì hệ thống đang sử dụng gói Free Net Hosting
Trang 4 Giải pháp: Cần lựa chọn sử dụng các gói dịch vụ Hosting có phí để
nâng cấp hệ thống, băng thông cao, giúp hệ thống luôn sắn sàng ở mức cao nhất
CHỨC NĂNG:
Có tính sẵn sàng cao
Tính năng giới thiệu cho khách hàng biết được các dòng sản phẩm cũng như
các hãng hàng và xuất xứ của sản phẩm mà Fs Shop đang bán tại cửa hàng
Trang 6+ Tính năng show sản phẩm theo từng nhóm sản phẩm: Túi xách, balo, ví, mắt kính và giày
Trang 11+ Tính năng đăng nhập, đăng kí, đổi mật khẩu, giỏ hàng
+ Tính năng tìm kiếm sản phẩm
Trang 12+ Tính năng cung cấp thông tin và bản đồ cửa hàng, và tư vấn trực tuyến
Giải pháp: Cần có thêm các tính năng thanh toán trực tuyến nhằm đảm
bảo tính sẵn sàng cao hơn nữa
1.2 Tính toàn vẹn
Trang 13Đảm bảo thông tin và dữ liệu không bị sửa đổi bất hợp pháp Thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được cho phép và đảm bảo băng thông vẫn còn chính xác khi được lưu trữ hay truyền đi
Trang 14Quá trình toàn vẹn đảm bảo rằng dữ liệu trong hệ thống là được xác minh, chính xác và đáng tin cậy Thông tin không bị thay đổi trong quá trình truyền và nhận tin, thông tin không bị thay đổi nội dung bằng bất cứ cách nào bởi người không được phép Vì vậy điều quan trọng là phải theo dõi các quyền của tệp và quyền truy cập của người dùng Một điều quan trọng khác để duy trì tính toàn vẹn của dữ liệu là có một bản sao lưu an toàn
* Giải pháp nâng cao tính toàn vẹn :
Giải pháp “Data Integrity” có thể bao gồm thêm việc xác thực nguồn gốc của thông tin này (thuốc sở hữu của đối tượng nào) để đảm bảo thông tin đến từ một nguồn đáng tin cậy và ta gọi đó là tính “Authenticity” của thông tin
1.3 Tính riêng tư
Đảm bảo thông tin của người sử dụng không ai được phép truy cập vào dữ liệu của họ khi không được cho phép trừ người có quyền truy cập đã được họ cho phép
Trang 15Tất cả thông tin của khách hàng (đối với những khách hàng đã đăng ký) sẽ được admin quản lý và bảo mật thông tin trên hệ thống; bên cạnh đó, admin sẽ phân quyền cho từng user tùy vào mục đích sử dụng: Khách hàng chỉ có xem sản phẩm, mua sản phẩm Nhân viên có thể xem sản phẩm, mua sản phẩm, thêm sản phẩm, chỉnh sửa sản phẩm nhưng không được xóa dữ liệu Admin có toàn quyền
Nhân viên không có quyền xem tài khoản của khách hàng, chỉ có admin mới
có quyền cập nhật, thêm, sửa, xóa user của khách hàng
Do đó: website có tính riêng tư
Trang 16Thông tin mua hàng, đặt hàng của khách hàng sẽ được lưu trên CSDL do admin quản lý, khi muốn mua hàng thì khách hàng bắt buộc phải đăng nhập user của mình,
do đó mọi thông tin mua hàng sẽ được kiểm soát bởi admin
Chất lượng sản phẩm được nhập từ những cửa hàng có uy tín, do đó chất lượng của sản phẩm luôn được đảm bảo
Trang 17Do đó: Websit có tính trách nhiệm
1.5 Tính tin cậy
Đối với cá nhân
Chỉ được cung cấp, chia sẻ, thông tin cá nhân của mình cho bên mà mình tin cậy, trừ trường hợp có yêu cầu của cơ quan nhà nước có thẩm quyền
Đối với cơ quan , công ty, tổ chức
Chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu sau khi có sự đồng ý của chủ thể thông tin cá nhân
Đối với mỗi khách hàng khi mua hàng thì website sẽ yêu cầu đăng nhập tài khoản, nếu khách hàng chưa có tài khoản sẽ đăng ký tài khoản, nếu khách hàng đồng
ý các thông tin thì khách hàng đã tin cậy cửa hàng và chỉ có khách hàng và admin mới có quyền xem thông tin đã đăng ký, trừ trường hợp khách hàng cho người khác user và mật khẩu của mình thì người khác mới có thể truy cập được Admin có quyền xem thông tin của khách hàng nhưng chỉ với mục đích quản trị, không chỉnh sửa bất
kỳ thông tin của khách hàng cũng như cung cấp tài khoản cho người khác khi chưa
có sự đồng ý của khách hàng
Trang 18Ngoài ra, thông tin khách hàng còn sử dụng cho việc góp ý hay đánh giá sản phẩm đối với website
Do đó: website có tính tinh cậy
- Khi xảy ra hoặc có nguy cơ xảy ra sự cố an toàn thông tin mạng, tổ chức, cá nhân xử lý thông tin cá nhân cần áp dụng biện pháp khắc phục, ngăn chặn trong thời gian sớm nhất
Sản phẩm có tính an toàn : Cá nhân sử dụng website fsshop sẽ chủ động giữ thông tin cá nhân Ví dụ : tài khoản đăng nhập/mật khẩu, sđt, địa chỉ, thông tin mua hàng Thông tin cá nhân được lưu trên hệ thống quản trị và giao diện người dùng để người dùng có thể thay đổi thông tin
Trang 19Website có tính năng đăng ký sử dụng Người dùng có thể chủ động đăng ký tài khoản để đăng ký sử dụng theo thông tin cá nhân của khách hàng
Nếu khách hàng bị sự cố bị đánh cắp hoặc quên mật khẩu thì liên hệ với quản trị viên để được cung cấp lại mật khẩu
Trang 20Một số tính năng có thể cải thiện tăng cường tính an toàn khi sử dụng website fsshop :
1 Đặt mật khẩu có tính bảo mật cao, khó đoán
2 Xác thực email khi khách hàng đăng ký hoặc lấy lại mật khẩu
3 Lập kế hoạch sao lưu dữ liệu và bảo mật để thông tin dữ liệu khách hàng được an toàn, không bị đánh cắp và không bán dữ liệu khách hàng cho đối tượng nào khác
1.7 Tính dễ mở rộng:
Đối với Website Bán đồ thời trang nữ FS Shop -> có tính mở rộng
+ Đảm bảo được Website FS Shop vẫn hoạt động bình thường
+ Website FS Shop có hệ thống Backup dữ liệu Dữ liệu được Backup định kì hàng tuần lên host Somee
+ Bảo mật dữ liệu, phân quyền truy cập: Website có phân quyền cho Admin, khách hàng, nhân viên
Admin: là người quản lý ứng dụng có quyền cao nhất trong hệ thống: quản
lý tài khoản, quản lý thông tin sản phẩm, quản lý khách hàng và đơn khách hàng
Khách hàng: chỉ có quyền đăng ký tài khoản, xem thông tin, tìm kiếm và đặt hàng
Nhân viên: có quyền quản lý thông tin sản phầm: thêm, sửa, xóa, trả lời tư vấn khách hàng, quản lý đơn hàng
Đảm bảo thông tin của người sử dụng không ai được phép truy cập vào dữ liệu của họ khi không được cho phép trừ người có quyền truy cập đã được họ cho phép
Trang 21+ Website FS Shop bảo dưỡng định kỳ 3 tháng 1 lần
- Tuy nhiên Website FS Shop vẫn chưa có hệ thống dự phòng khi có sự cố về phần cứng hoặc phần mềm xảy ra
Giải pháp:
- Sẽ xây dựng hệ thống dự phòng và đồng bộ dữ liệu với các yêu cầu:
+ Xây dựng một hệ thống tương tự có khả năng dự phòng cho hệ thống chính + Xây dựng kịch bản các sự cố có thể gây gián đoạn dịch vụ và quy trình phục hồi hệ thống tại site dự phòng
+ Tự động cập nhật khi có thay đổi về mã nguồn ứng dụng
+ Sử dụng SSL : HTTPS
1.8 Tính quản trị
Sự phát triển mạnh mẽ của mạng máy tính và các hệ thống phân tán làm thay đổi phạm vi tổ chức xử lý thông tin
Thông tin được trao đổi giữa các thiết bị xử lý thông qua một khoảng cách vật
lý rất lớn, làm xuất hiện thêm nhiều nguy cơ hơn đối với sự an toàn của thông tin
Từ đó xuất hiện yêu cầu bảo vệ sự an toàn của hệ thống mạng (Network 3 Security), gồm các cơ chế và kỹ thuật phù hợp với việc bảo vệ sự an toàn của thông tin khi chúng được trao đổi giữa các thiết bị trên mạng
Trang 22CHƯƠNG 2 ĐỊNH VỊ CÁC KẼ HỠ AN NINH THÔNG TIN
2.1 Kẻ hở trong giao thức
- Giao thức SMTP: Trong giao thức chuyển thư điện tử đơn giản SMTP không
có cơ chế xác thực , cho nên thư điện tử rất dễ bị kẻ xấu mạo danh
Trang 23Cách khắc phục: Để khắc phục lỗi này, sử dụng kích hoạt SMTP gmail server
- Giao thức LDAP: Không sử dụng
- Giao thức HTTP: Đối với HTTP, vì dữ liệu không được xác thực bảo mật nên sẽ không có gì đảm bảo được phiên kết nối của bạn có đang bị “nghe lén” hay không, hoặc bạn đang cung cấp thông tin cho website thật hay một website giả mạo
Các khắc phục: Chuyển giao thức HTTP sáng giao thức HTTPS
Bảo mật website hơn: Tránh được tình trạng đánh cắp thông tin
Các dữ liệu được mã hóa: Giúp dữ liệu an toàn tuyệt đối
Hỗ trợ tăng hạng trong SEO: Tăng độ tin tưởng của google, giúp nhanh chóng lên TOP
Tăng độ tin tưởng trong mắt người dùng: Giúp người dùng đánh giá website có đầu tư cũng như quyền lợi của họ được đảm bảo
Và mua chứng thực SSL cho website
2.2 Kẻ hở trong hệ điều hành
Thường xuyên xuất hiện các lỗ hỏng bảo mật: CVE-2021-40469 trong Windows DNS Server Lỗ hổng có điểm CVSS: 7.8 (cao), ảnh hưởng đến các phiên bản khác nhau của Windows 7/8.1/10 Để khai thác lỗ hổng này, đối tượng tấn công cần xác thực để thực thi mã từ xa
Biện pháp xử lý : Sử dụng hệ điều hành windows server 2012 bản quyền để làm web server và thường xuyên cập nhật bản vá mới nhất của HĐH Và hướng dẫn khách hàng sử dụng web sử dụng hệ điều hành phiên bản cao tránh dùng các hđh củ như windows xp và dùng hđh bản quyền
2.3 Kẻ hở trong các ứng dụng
Trang 24Ví dụ, trong form đăng nhập, người dùng nhập dữ liệu, trong trường tìm kiếm người dùng nhập văn bản tìm kiếm, trong biểu mẫu lưu dữ liệu, người dùng nhập dữ liệu cần lưu Tất cả các dữ liệu được chỉ định này đều đi vào cơ sở dữ liệu
Thay vì nhập dữ liệu đúng, kẻ tấn công lợi dụng lỗ hổng để insert và thực thi các câu lệnh SQL bất hợp pháp để lấy dữ liệu của người dùng… SQL Injection được thực hiện với ngôn ngữ lập trình SQL SQL (Structured Query Language) được sử dụng để quản lý dữ liệu được lưu trữ trong toàn bộ cơ sở dữ liệu
Tuy nhiên ngày nay chứng ta thường làm việc trên những framework hiện đại Các framework đều đã được test cẩn thận để phòng tránh các lỗi, trong đó có SQL Injection
Các phần có nguy cơ tấn công :
+ Form đăng nhập
+ Form tìm kiếm
+ Liên kết website
Biện pháp khắc phục : Luôn kiểm tra kỹ các trường nhập dữ liệu và các bạn
cần ràng buộc thật kỹ dữ liệu người dùng nhập vào Dùng Regular Expression để loại
bỏ đi các ký tự lạ hoặc các ký tự không phải là số nên dùng các Framework và hạn chế dùng code thuần tối đa nếu có thể Framework luôn có cộng đồng hoặc các chuyên gia bảo mật giúp tìm lỗi và update liên tục, từ đó chúng ta có thể giảm bớt thời gian xử lý lỗi để tăng thời gian làm sản phẩm cũng là một điều hay
2.4 Kẻ hở từ nguy cơ internet
Nguy cơ lây nhiễm khi mở để xem thư điện tử được gửi từ một mail lạ không
rõ danh tính Lây nhiễm từ các tập tin chứa virus đính kèm theo thư điện tử qua việc nhận Email liên hệ từ khách hàng
Biện pháp : Để tránh được các nguy cơ này thì phải biết được các dấu hiệu lừa đảo qua Email, đồng thời phải xử lý ngăn chặn kịp thời
2.5 Kẻ hở từ mạng cục bộ
Nguy cơ : Nghe lén các thông tin như tên, mật khẩu người sử dụng, các thông tin mật chuyển qua mạng
Biện pháp:
- Đặt mật khẩu phức tạp để tránh các cuộc Tấn công Password
- Bật tính năng xác thực 2 lớp qua tin nhắn
- Hạn chế sử dụng các mạng wifi công cộng bởi chúng có thể khiến thiết bị nhiễm mã độc
- Bật tường lửa thông báo
Trang 25CHƯƠNG 3: CÁC NGUY CƠ CHỦ YẾU
3.1 Cấy Virus
Website hệ thống sử dụng windows server 2012 nên có thể bị tấn công từ việc
sử dụng mạng LAN và dùng USB không an toàn khi sử dụng thao tác trên máy chủ Nếu hacker có thể cấy virus từ mạng LAN, USB thì có thể lây lan virus từ máy chủ lên web server và có thể bị đánh cắp và chỉnh sửa nội dung dữ liệu
Hacker lợi dụng phần góp ý khách hàng, gửi các email có chứa các link có chứa virut với các nội dung về phản hồi về sản phẩm
Giải pháp: Sử dụng tường lửa, phần mềm antivirus
3.2 Tấn công DOS
DoS là kỹ thuật tấn công nhằm không cho phép các truy cập hợp lệ truy cập tới server Kỹ thuật tấn công này thường xảy ra tại lớp mạng và lớp ứng dụng Các hệ thống đích có thể bị tấn công DoS:
Người dùng riêng lẻ: quá trình đăng nhập lặp đi lặp lại với tài khoản hợp lệ nhưng mật khẩu không đúng Sau nhiều lần đăng nhập sai, hệ thống sẽ khóa tài khoản hợp lệ này, dẫn đến người dùng hợp lệ sẽ không thể đăng nhập được
Máy chủ cơ sở dữ liệu: Sử dụng kỹ thuật chèn câu lệnh truy vấn SQL chỉnh sửa cơ sở dữ liệu, vì thế hệ thống sẽ không thể phục vụ các truy cập từ client
Máy chủ phục vụ web: Sử dụng kỹ thuật tấn công tràn bộ đệm (Buffer Overflow) để gới các gói truy vấn và làm đổ vỡ các tiến trình tại phía máy chủ phục
Trang 26vụ web, dẫn đến hệ thống máy chủ webserver sẽ không có khả năng phục vụ các truy cập hợp lý
Tấn công từ chối dịch vụ: Hacker tấn công làm người dùng không truy cập được vào website
Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thống bảo vệ chống lại
SYN flood
Trang 27Chỉ chấp nhận các dịch vụ cần thiết, tạm thời dừng các dịch vụ chưa có yêu cầu cungcấp hoặc không sử dụng
Xây dựng hệ thống định mức, giới hạn cho người sử dụng để ngăn ngừa trường hợpngười dùng có ác ý muốn lợi dụng các tài nguyên trên server để tấn công chính serverhay mạng, server khác
Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và
Trang 28 Giải pháp
Đặt mật khẩu phức tạp: Tuy đơn giản nhưng biện pháp này giúp người dùng phòng tránh được hầu hết các cuộc tấn công dò mật khẩu thông thường Một mật khẩu mạnh thường bao gồm: chữ IN HOA, chữ thường, số, ký tự đặc biệt (ví dụ
@$*%&#)
Bật xác thực 2 bước: Hầu hết dịch vụ cho phép người dùng bật xác thực 2 bước khi đăng nhập trên thiết bị mới Điều này khiến hacker có hack được mật khẩu cũng không thể đăng nhập được Hiện tại Facebook, Gmail, các ngân hàng, ví điện tử… đều có tính năng này
Quản lý mật khẩu tập trung: Việc lưu tất cả mật khẩu trên một thiết bị là con dao hai lưỡi Người dùng cân nhắc khi thực hiện
Thay đổi mật khẩu định kì: Gây khó khăn cho quá trình hack mật khẩu của tin tặc
Thận trọng khi duyệt web: Tin tặc có thể hack mật khẩu của bạn bằng cách tạo
ra một đường link giả mạo VD vietconbank.com.vn rồi yêu cầu bạn nhập thông tin…
Vì thế, luôn thận trọng với các đường link trước khi click
Cẩn trọng khi mở email, tải file: Tuyệt đối không mở file lạ, và luôn kiểm tra địa chỉ email người gửi xem có chính xác không VD: tên người gửi là Ngọc Luân JSC nhưng địa chỉ email là ngoclunajsc thì chắc chắn có dấu hiệu lừa đảo
Trang 293.4 Tấn công phishing mail
Hệ thống website có chức năng liên hệ qua email nên các hacker có thể lợi dụng để thực hiện các mã nhúng hoặc link lừa đảo để đánh cắp thông tin khi quản trị click vào thông tin mà hacker đưa vào email liên hệ
Tin tặc sẽ gửi email cho người dùng dưới danh nghĩa của cửa hàng, dụ người dùng click vào đường link dẫn tới một website giả mạo và “mắc câu” Những email giả mạo thường rất giống với email chính chủ, chỉ khác một vài chi tiết nhỏ, khiến cho nhiều người dùng nhầm lẫn và trở thành nạn nhân của cuộc tấn công
Hacker có thể đánh cắp source hoặc là thực hiện xây dựng một website gần giống với cửa hàng Trang được làm giả thường là trang đăng nhập để cướp thông tin của nạn nhân
Trường hợp Giả mạo là nạn nhân là nguy cơ thường hay gặp: Hacker lợi dụng phần góp ý, phản hồi ý kiến của khách hàng để gửi thư báo lỗi sản phẩm, kèm 1 link hoặc hình ảnh chứa mã độc Nếu không cẩn thận click vào sẽ dính hacker phát tán virus
Giải pháp
Đối với cá nhân người dùng
Cảnh giác với các email có xu hướng thúc giục bạn nhập thông tin nhạy cảm
Cho dù lời kêu gọi có hấp dẫn thế nào đi chăng nữa thì vẫn nên kiểm tra kỹ càng VD: Bạn mới mua sắm online, đột nhiên có email từ ngân hàng tới đề nghị hoàn tiền cho bạn, chỉ cần nhập thông tin thẻ đã dùng để thanh toán Có tin được không ?
