Thanh toán trong TMĐT Đánh giá dịch vụ an ninh của BKIS [Lucious Nero].pdf

Thanh toán trong TMĐT Đánh giá dịch vụ an ninh của BKIS [Lucious Nero]

N H O M 6 – L 1 0 0 3 – V C U

2010

THANH TOÁN TRONG THƯƠNG MẠI ĐIÊ ̣N TỬ

Đánh giá dịch vụ an ninh của một nhà cung cấp

chuyên nghiệp tại Việt Nam

NHÓM Page 1

I 2

1 2

2 2

II 4

1 G IS 4

2 IS .5

3 IS 11

4 : 12

III 15

NH GI TH NH I N 17

NHÓM Page 2

I ro g ươ g

1 g g I

T y

I

y y

TM T

Các công ngh An ninh M ng b o v m ng c a b c vi ắp và s

d ng sai m t và ch ng l i t n công bằ ã c từ

vi rút và sâu máy tính trên m ng Internet N u không có An ninh M c tri n khai, công ty c a b n sẽ gặp r c xâm nh p trái phép, s ngừng tr ho ng

c a m ng, s n d ch v , s không tuân th y nh và th m chí là các hành

ng ph m pháp n a

2 do d g g

An ninh m ã thành m t yêu c i v i doanh nghi ặc bi t là

nh ng doanh nghi p d a vào m ng Internet Khách hàng, nhà cung c i tác kinh doanh c a b n k vọng vào b b o v b t k thông tin nào mà họ chia sẻ v i

b n

Trong khi An ninh M ã thành m t yêu c u tiên quy v n hành m t doanh nghi i l i ích theo nhi D i

ây ng l i ích mà các doanh nghi c từ m t m c b o v an toàn:

Lòng tin của khách hàng

 T m b o

 C c khuy n khích

M t h th ng an ninh m m b o v i khách hàng rằng nh ng thông tin nh y c m thẻ tín d ng hoặc các chi ti t kinh doanh bí m t sẽ không b truy c p và khai

é i tác kinh doanh c a b n sẽ c m th y t ẻ d

li báo doanh thu hoặc lên k ho ch s n phẩ c khi phát hành Ngoài

NHÓM Page 3

ra, các công ngh ừ ă ặn xâm nh p trái phép vừa cung c i tác

c a b n truy c n thông tin trên m ng c a b n, giúp b n c ng tác và làm

vi c cùng nhau m t cách hi u qu

D ộng

 B o v truy c ng

 Nâ ă ă ò

Gi i pháp An ninh M ng m nh mẽ cho phép nhân viên c a b n truy c p an toàn trên

ờ ặc từ nhà riêng mà không làm lây lan vi rút hoặc các d ng t n công khác Truy c p m ng an toàn, thu n ti ĩ ân viên có th s d ng thông tin quan trọng khi họ c n, giúp họ tr ă y khi họ không

ng c bàn làm vi c

Nă g ấ c o ơ

 Ít lãng phí thờ

 c và c ng tác t a các nhân viên

M n ninh M ng hi u qu có th â ă t trên ph m vi toàn b tổ ch c c a b n Nhân viên m t ít thờ ng công vi c không

ă ng spam và di t vi rút M ng và k t n i Internet c a b n luôn

m b o rằng b n và nhân viên c a mình có truy c ờ x y n Internet và e-mail

Giảm chi phí

 T n d ch v

 Các d ch v tiên ti c phát tri n an toàn

S n ho ng c a m ng gây thi t h i l i v i mọi th lo i doanh nghi p Bằng cách m b o rằng m ng và k t n i Internet c a b n là an toàn và ho ng liên t c, b n có th m b o rằng khách hàng có th ti p c n b n khi họ c n b n

An ninh hi u qu cho phép doanh nghi p c a b n bổ sung các d ch v và ng d ng

m i mà không làm nh h n hi ă ng S d ng m y ng ch

b o v d li u c a b n sẽ m b o rằng doanh nghi p c a b n sẽ t n t i và

ho ng theo yêu c u

NHÓM Page 4

Khi công ty c a b ă ng, nhu c u v m y ổi Vi c thi t l p m t

m ng an toàn, m nh mẽ ngay từ hôm nay sẽ cho phép công ty b n bổ sung nh ng

ch ă t n i m ng không dây an toàn hoặc tho i và h i ngh

II g c g cấ d c

1

Bkis vi t tắt từ Bach Khoa Internet Security c bi n v i tên "Trung tâm an ninh m ng Bách Khoa" y "Trung tâm ph n m m và gi i pháp an ninh

m ng" là m t trung tâm nghiên c u c T ờ i học Bách Khoa Hà N i Bkis

ti n thân là nhóm Bkav S n phẩ u tiên c a Bkis chính là ph n m m Bkav do Nguyễn T Qu ng - m t sinh viên khoa Công ngh ờ i Học Bách Khoa Hà N i - vi ă 1995 P n m m này nổi ti c s d ng nhi u Vi t Nam

Nă 1997 t nghi p, Qu c gi l i làm cán b gi ng d y b môn Kỹ thu t máy tính, Khoa Công ngh ờ i Học Bách Khoa Hà N i Vừa

gi ng d y, Qu ng vừa ti p t c nghiên c u phát tri

T 12/2001 i Học Bách Khoa Hà N i thành l p Trung tâm Ph n m m và Gi i pháp an ninh m ng (BKIS) Nguyễn T Qu â n nay Trung tâm Ph n m m và Gi i pháp an ninh m c thành l p v i chín thành viên, ngoài Qu ng và B ch Thành Lê còn có nh ng b n sinh viên, yêu thích công vi c di t virus khác tham gia Nhóm nòng c t tham gia vi t Bkav tr thành các thành viên nòng c t c a trung tâm an ninh m ng - Bkis

ĩ c ho ng

 Nghiên c n, thi t k , tri n khai ph n m m và gi ĩ c

an ninh m ng, phòng ch ng virus máy tính

 Hỗ tr chuyên môn cho các ă a Chính ph trong công tác phòng ch ng, truy tìm t i ph m tin học tham gia, xây d ng lu t pháp v t i

NHÓM Page 5

ph m tin học Tham gia các ho ng phòng ch ng t n công phá ho i bằng CNTT

 H p tác v i các tổ ch c An ninh m ng và C u h các s c máy tính c a các

c trên th gi i và trong khu v c trong vi c khắc ph c s c máy tính, chia

sẻ thông tin v an ninh thông tin

 T o ngu n nhân l cao v An ninh m ng và Công ngh Thông tin nói chung

S 12 ă ng, S nhân viên c ã t trên 500 Ngày 25/06/2009 Bkis

ã c hi u tổ ch c T p m i: Bkis Security, Bkis Soft, Bkis R&D, Bkis Telecom và Bkis HCM

Sản phẩm

 Ph n m m di t virus BKAV

 Ph n m u hành tác nghi p tr c tuy n eOffice - ă ò n t

 Ph n m m M t c n t Bkav eGate

2 c d c c g cấ

a o o ậ ức g

T i sao c o nh n th c an ninh m ng

An ninh m ng bao g m nhi u y u t : kỹ thu t, quy trình v n hành và con

ờ T ời là y u t quan trọng nh m y u nh t trong h th m b o an ninh m ng, vi ời c x ng

v i vi t b Theo th ng kê c a Bkis trong thời gian vừa qua, ph n

l n các s c an ninh nghiêm trọng t i các doanh nghiêp/tổ ch c xu t phát từ y u t

ời

Khóa họ “ o nh n th c an ninh m ” ẽ cung c p thông tin v y cách phòng ch xây ng nh n th ắn v an ninh m ng cho toàn b cán b â u này góp ph n nâng cao m an ninh cho toàn

b h th ng, giúp cho vi c tri n khai các gi y c hi u

qu cao nh t

NHÓM Page 6

Nội dung đào tạo

Khóa họ “ o nh n th c an ninh m ” m nh ng ph n chính sau:

 Nh ng ki n th ă n v an ninh m ng

 T i sao hacker có th xâm nh p vào máy tính c a b n ?

 N y ừ virus máy tính, làm th phòng tránh ?

 Nh ng hi m họa khi truy c p Web

 Nh ng v d ng email

 S d ng an toàn các d ch v nhắn tin tr c tuy n (chat)

 Làm th b o v máy tính và d li u ?

 Phòng ch ng lừ o tr c tuy n

 H th ng qu n lý an ninh thông tin theo ISO 27001

Đối tượng của khóa học

Khóa họ y c thi t k cho các doanh nghi p/tổ ch c mu n nâng cao nh n th c

an ninh m ng cho toàn b ã o và cán b , nhân viên c a mình

L p họ c tổ ch c theo khóa cho từ

b Tư ấ , ế kế r ể k g ả g

Hi n nay, ph n l n các doanh nghi p/tổ ch ã th ng m ng máy tính Tuy n thi t k ờ c t t hoặc th m chí không

n, vì v y h th ng m ng không nh c an toàn, mà còn không phát huy h c hi u qu c a nh ng thi t b , ph n m ắt ti ã

Ví dụ: T i nhi nh ng b chuy n m ch (switch) tr

ỉ c s d ng v i nh ă i thi t b n cùng lo i

v i giá chỉ ă có nh ng thi t b tr giá hàng ch

y c hi u qu , th m chí c u hình sai gây m t an ninh cho h

th ng

N c cái nhìn tổng th ờng tỏ ra b i r i trong vi i hay phát tri n, nâng c p h th ng m : “ u

NHÓM Page 7

” Nhi x i tính toán vi c s

d ng các thi t b , ph n m m này th ây ọ

l i hi u qu cao

gi i quy t các v trên, Bkis cung c p d ch v “T n, thi t k và tri n khai

gi i pháp an ninh m ” D ch v này g m các gói sau:

IS1: Kh n tr ng an ninh m ng

IS2: T n và tri n khai gi i pháp an ninh m ng

IS3: C nh báo an ninh m ng

Khảo , g n tr ng an ninh m ng

Kh n tr ng h th ng hi n t i, phát hi n các lỗ hổng an ninh m ng

N i dung kh m:

 S k t n i h th ng

 Thi t b m (R Sw …)

 Thi t b , ph n m m an ninh m (F w IDS/IPS PN …)

 Server và các d ch v cung c p

 H th c h i d li u

 ổi thông tin

 H th ng ch ng th c, c p quy n

 H th ng phòng ch ng virus máy tính

 ờng truy N ờng truy n Internet

…

Tư ấn và triển khai giải pháp an ninh m ng

m b o an ninh d a trên các thông tin kh o s a gói IS1

 Phân vùng m ng – VLAN

 Thi t l p h th ờng l a – Firewall

 Thi t l p h th ng m ng riêng o – VPN

 Thi t l p h th ng c ă ặn t n công – IDS/IPS

 Gi i pháp phòng ch ng Virus máy tính

NHÓM Page 8

 Gi i pháp chia sẻ tài nguyên, trao ổi thông tin, tác nghi p tr c tuy n

 Gi i pháp c p nh t b n vá an ninh t ng cho toàn b h th ng

 Gi c h i d li u

 Gi i pháp t ờng truy n Internet

 Gi i pháp giám sát và ki m soát h th ng

 Gi i pháp qu n lý t ời dùng

…

Cảnh báo an ninh m ng

tr giúp cho các qu n tr m ng s m có thông tin v các lỗ hổng an ninh và cách khắc ph c cho các lỗ hổng trong h th ng, chúng tôi cung c p d ch v c nh báo an ninh m ng:

 Thông tin an ninh m c c p nh t liên t c 24/7 từ các ngu n uy tín trên

th gi i

 nguy hi m và phân tích s ng c a các lỗ hổng t i h

th ng c a khách hàng

 C nh báo nhanh t i khách hàng

 Hỗ tr gi i quy t khẩn c p các s c an ninh m ng

c Tư ấ , k ể r ố g web e

Website y ò ọng trong s phát tri n c a mỗi doanh nghi p/tổ ch T y i s phát tri p/tổ ch c

ph i mặt v y n công phá ho ừ ch i d ch v y ổi n i dung, xóa toàn b d li … ây ng l n t i uy tín, tài chính, hình nh

c a doanh nghi p/tổ ch c

ng nhu c m b o an ninh cho h th ng Website c , Bkis cung

c p 3 gói d ch v Web Security sau:

Kiể r , g của h thống máy chủ

 Kh o n tr ng an ninh c a h th ng máy ch theo Bkis Security

Checklist:

NHÓM Page 9

o An ninh v t lý

o Phân quy n

o ghi log

o Các d ch v và ng d ng

o C p nh t b n vá

 C u hình an ninh cho h th ng máy ch theo Bkis Security Checklist:

o H u hành

o Web Server

o Database Server

o Các ng d ng liên quan

Kiểm tra tổng thể lỗ hổng trên h thống Website

 Kh o sát h th ng Website

 giá, rà soát các lỗ hổng h u hành, Web Server, Database Server và các ng

d ng trên máy ch

 Ki m tra lỗ hổng trên các module c a Website

 Ki m tra, phát hi n lỗi: SQL Injection, Cross Site Scripting, CSRF, Code Excecution, Directory Traversal, File Incl …

 H ng dẫn khắc ph c các lỗ hổng

Rà soát mã nguồn Website

 Kh o sát c u trúc mã ngu n Website

 a các module

 Ki m tra phát hi n lỗi SQL Injection

 Ki m tra phát hi n lỗi Cross Site Scripting

 Ki ă p và xác th c, c p quy n

 Ki m tra phát hi n các lo i lỗi web khác: CSRF, Code Excecution, Directory

T F I …

 Khắc ph ng dẫn khắc ph c các lỗ hổng:

o Lên quy trình khắc ph c

o T n, tri n khai k ho ch khắc ph c

o Ki m tra k t qu và gi i quy t các v phát sinh

d Tư ấ , ế ậ ố g O 27001

NHÓM Page 10

Qu c h u h t các doanh nghi p/tổ ch c quan tâm Th c t , nhi ã n th y t m quan trọng c a vi y ã ng

m t s bi n pháp qu n lý nh nh Tuy nhiên, các bi ờ

họ t các r i ro mà doanh nghi p/tổ ch c có th gặp ph i

Gi i pháp toàn di n và hi u qu nh gi i quy t v trên là áp d ng H

th ng qu n lý an ninh thông tin ISMS (Information Security Management System) theo tiêu chuẩn ISO 27001

Tri n khai ISO 27001 sẽ chỉ y nh t nh y trong h th ng thông tin c a mình bằ â T pháp này, mỗi tài s â chỉ rõ nh y tác

n, ví d : máy tính b nhiễm virus gây m t d li u quan trọng, website b t n

n d ch v , ổ c ng h th ng server b s c , nhân viên ti t l thông tin v h i th c …

Quá trình phân tích sẽ chỉ ra các nguyên nhân dẫn t i nh y chẳng h n: không có gi i pháp phòng ch ng virus máy tính, không ki m soát mã ngu n c w n pháp backup d li y nh không ti t l

i v â …

Trên k t qu â i ro c a h th ng thông tin và d a trên

ng dẫn c a tiêu chuẩ n sẽ giúp doanh nghi p/tổ ch c xây d ng các chính sách, bi n pháp x lý phù h phòng tránh và gi m thi ng khi

r i ro an ninh thông tin x y ra

L i ích khi áp d ng ISO 27001

 Phát hi n s m các r i ro mà h th ng thông tin ph i mặt, từ n pháp phù h p và k p thời

 Tă ờng an ninh thông tin, giúp qu n lý chặt chẽ tài s n thông tin

 Nâng cao s tin c y từ i tác, khách hàng

 Gi m thi u thờ n n u có s c an ninh x y ra

 Mang l â t phong cách làm vi c m i, hi ă

ng và có tính kỷ lu t cao

NHÓM Page 11

 Tă ờng kh ă nh tranh, nâng cao hình u c

D ch v n thi t l p theo ISO 27001

V là m u ho ĩ c an ninh m ng, d ch v

“T n, thi t l p h th ng qu ISO 27001” a Bkis sẽ giúp khách hàng xây d ng h th ng an ninh thông tin m t cách hi u qu v i chi phí và thời gian h p lý nh t

D ch v này g m các n i dung sau:

 P â n tr ng và s phù h p v i tiêu chuẩn

 o nh n th c an ninh thông tin

 o vi t tài li u theo chuẩn

 â i b

3 c c ư c củ

Từ y IS ã

ây

 Bkis - u là Nguyễn T Qu ng - ã n công ngh thông tin Vi t Nam M t trong s c chuyên nghi p hóa d ch

v hỗ tr ời s d y ĩ c b o m t & di t virus

 ng sáng l p hi p h i các tổ ch c C u h máy tính c a khu v c Châu Á

T D - APCERT - Asia Pacific Computer Emergency Response Teams

Sự ki n nổi bật

 1995: ây 12 ă 7 ă 1995 nghỉ è ă

th 3 c a khoa Công ngh T T ờ i học Bách khoa Hà N i mà bây giờ G T â ã u và vi t ra phiên b u tiên c a ph n

m m di t virus Bkav (Bách khoa Antivirus)

 1995-1997: Ph n m m Bkav tr nên phổ d ng, có mặt t i h u h t các máy tính

trên c c, mỗ ă 1 ời t i Bkav từ trên m ng Internet