You are on page 1of 4

Ứng dụng Web là các chương trình phần mềm được triển khai (sử dụng) bởi một trình

duyệt Web thông qua mạng máy tính như mạng Internet và intranet. Các ứng dụng này không phải là các trang web tĩnh đơn giản mà là các trang web và các hệ thống có sự tương tác, hỗ trợ các giao dịch và tích hợp tính chất thương mại. Các ứng dụng này được phát triển, triển khai tùy vào từng trường hợp. Chúng có thể được tạo ra trong phạm vi một công ty bởi một kỹ sư của họ, hoặc bởi một phòng IT của công ty khác. Ta có thể xem xét Payment Card Industry (PCI) Data Security Standard (DSS), ứng dụng này nhằm hướng các nhà cung cấp thương mại điện tử cân nhắc cách thức triển khai các ứng dụng của họ, cách cấu hình và giám sát, nhưng nhiều ứng dụng web khác không có kiểm soát thỏa mãn để được ứng dụng PCI DSS. Bảo mật không luôn luôn được định nghĩa đầy đủ trong các chi tiết kỹ thuật, đề xuất và hợp đồng với nhóm thiết kế, không giống như các vấn đề liên quan tới chức năng, thiết kế giao diện, khả năng ứng dụng và khả năng truy cập. Phần lớn các ứng dụng Web gần đây đã bị tổn hại bởi tấn công SQL injection, điều này càng làm các nhà khai thác coi việc bảo mật các ứng dụng là ưu tiên hàng đầu, nhưng những nỗ lực của họ chỉ mạng tính chắp vá theo kiểu có tấn công thì hành động đáp trả chứ chưa quan tâm đến nguồn gốc của vấn đề là gì. Điều này giống như tập trung chống trộm chỉ duy nhất tại một cánh cửa của ngôi nhà mà bỏ qua các cánh cửa và cửa sổ khác. Các mã độc luôn luôn không tấn công tại một điểm duy nhất và cùng một phương thức. Đối với nhiều tổ chức việc áp dụng kiểm soát bảo mật cho các ứng dụng web là một nhiệm vụ bất khả thi bởi vì họ thiếu kinh nghiệm với các kiểu kiểm soát phổ biến và không quen với các tiêu chuẩn và phương pháp có sẵn. Nhiều công ty phần mềm định hướng theo kiểu cung cấp một framework mở cho phép các tổ chức tạo ra và thực hiện các chính sách bảo mật để chống lại các rủi ro cụ thể mà tổ chức đó phải đối mặt – Software Assurance Maturity Model (SAMM). Nhưng nhiều doanh nghiệp nhỏ và vừa chỉ sử dụng một ứng dụng web đơn giản giống như một trang web hỗ trợ giao dịch. Do đó CobiT Security Baseline là một lựa chọn phù hợp cho các tổ chức như vậy. CobiT Security Baseline CobiT Security Baseline định nghĩa 44 bước kiểm soát tối thiểu tương đương với các mục tiêu quan trọng liên quan tới bảo mật mà các tổ chức nên chú ý. Các bước được nhóm thành 4 nhóm: Lập kế hoạch và tổ chức – Plan and Organise (PO), Thu thập và thực thi – Acquire and Implement (AI), Giao nhận và cung cấp - Deliver and Support (DS), Giám sát và định giá – Monitor and Evaluate (ME). Lập kế hoạch và tổ chức Gồm các bước sau: Bước 1: Định nghĩa chiến lược bảo mật và kiến trúc thông tin. Tại bước đầu tiên này sẽ tìm hiểu ứng dụng web đang tồn tại để hiểu các dữ liệu đang được xử lý và lưu trữ trong ứng dụng web này. Các ứng dụng nên định nghĩa các mô hình lớp dữ liệu như dữ liệu nào đang được thu thập, đang được xử lý và đang được truyền. Đồng thời các ứng dụng cũng phải chỉ ra như thế nào và khi nào nên được bảo vệ và phá hủy. Các chính sách, quy định và ràng buộc khác phải tuân thủ cũng nên được xác định. Việc cấp quyền trong ứng dụng web thường dựa vào vai trò của người được cấp quyền cũng phải được thống nhất. Việc xác thực và xác minh với các kiểu giao dịch của người dùng cần được xem xét. Xu hướng bảo mật nhiều lớp thường được dùng trong web, máy chủ ứng dụng và cơ sở dữ liệu được bảo vệ theo nhiều cách. Hầu hết các ứng dụng web không phải là hệ thống độc lập, và tất các

Các nhà cung cấp cũng phải cung cấp một lịch trình của tất cả các thành phần cần thiết cho kiến trúc và tiến hành để xác định và giám sát việc cập nhật và vá lỗi. Tìm hiểu và thực hiện kiểm tra lý lịch của tất cả những người có tham gia vào suốt vòng đời sống của ứng dụng web là rất quan trọng. …Các tổ chức phải đảm bảo rằng tính sẵn sàng liên tục của các ứng dụng và tinh sẵn sàng cập nhật và thay đổi chức năng của ứng dụng không phụ thuộc vào bất cứ tri thức mà không được lập thành tài liệu. Điều này sẽ yêu cầu kiểm soát bảo mật và không nên xung đột với mỗi cái khác ví dụ cấu hình sai firewall của ứng dụng web có thể gây ra từ chối dịch vụ. các kiểm tra và kết quả phải được ghi chép để xác định độ lệch trong hệ thống phân phối. Nhiệm vụ xác định lược đồ lớp dữ liệu và xác định dữ liệu nào bị hỏng trong mỗi lớp không nên trao cho đối tác thứ 3. Nhận thức có thể tùy vào vai trò của từng cá nhân ví dụ lễ tân. cho dù là nhân viên làm toàn thời gian hoặc không ví dụ người phát triển hệ thống. sai lệch dữ liệu. Thu thập và thực thi Gồm các bước sau: Bước 11-12 – Xác định các giải pháp tự động hóa. Các kỹ thuật phân tích các mối đe dọa là có sẵn. Bước 4 tới bước 7. Khi có sự thay đổi về mục tiêu kinh doanh. vì vậy phải bao gồm tất cả các đối tác có bất kì đặc quyền truy cập nào.Quản lý nhân sự IT. hủy hoại. quản trị cơ sở dữ liệu. chủ hệ thống. Việc giao trách nhiệm cho các tổ chức khác là không được phép nhưng thực tế thường các dịch vụ được cung cấp bởi đối tác thứ 3 ví dụ dịch vụ hosting hoặc trang web được thiết kế bởi một công ty phần mềm khác. Tính xác thực của thông tin cũng như tính bảo mật. đặc biệt là sự giúp đỡ của đối tác thứ 3. Bước 2. Điều này nên mở rộng đến tất cả các dịch vụ đã yêu cầu ví dụ như hệ thống tên miền – DNS thì dịch vụ của đối tác thứ 3 là tra cứu địa chỉ và ánh xạ. ứng dụng web phải được xem xét lại để chắc chắn rằng nó đáp ứng được các yêu cầu và chọn được phương án quản trị rủi ro hợp lý. Những kỹ thuật này có thể sử dụng cùng với cây tấn công để xác định các tình huống có thể xẩy ra từ đó có thể đánh giá được rủi ro. giám sát. Quyền sở hữu của trang web thường không rõ ràng. toàn vẹn. Nhà cung cấp nên giải thích các cấu hình được yêu cầu và thao tác các biện pháp cần thiết để bảo hệ kiến trúc ứng dụng. tấn công từ chối dịch vụ DOS. quản trị hệ thống. nên định kỳ đào tạo huấn luyện bồi dưỡng các vấn đề liên quan tới bảo mật và trách nhiệm của họ. Bước 8-bước 10 – Đánh giá và quản trị rủi ro IT. Nên cân nhắc so sánh với các thực tế thực hiện tốt đã công bố. và các nhà cung cấp tiềm năng phải giải thích được làm cách nào họ thỏa mãn được những yêu cầu này và cung cấp ví dụ của hệ thống trước đấy. Chi tiết kỹ thuật nên càng rõ ràng càng tốt trong yêu cầu. mất mát dữ liệu do SQL injection… Bảo mật nên là một phần của các đánh giá thường xuyên. quản trị ứng dụng. Yêu cầu kiến trúc nên được xác định trong chi tiết kỹ thuật. . nhân viên của nhà cung cấp dịch vụ Internet.Xác định tổ chức IT và các quan hệ.các dịch vụ cần thiết phải được xác định. Các yêu cầu về bảo mật nên được xác định và tương ứng với các mục tiêu công ty. Bước 3. chuẩn bị tài liệu và giải thích đến những người khác trong tổ chức. Nhận thức về bảo mật phải được xây dựng ngay khi bắt đầu huấn luyện sử dụng ứng dụng web. với giải pháp trọn gói. và tính khả dụng cũng nên cân nhắc.Truyền đạt mục đích quản lý và chỉ đạo. Bước 13-15 – Thu thập và bảo trì ứng dụng và kiến trúc công nghệ. Trách nhiệm cần được giao cho nhân viên thích hợp. vấn đề bảo mật nên được đánh giá dựa vào cấu hình của hệ thống theo cách tương tự như hệ thống đang được đề xuất. Cần có các quy trình rõ ràng để xử lý các sự cố như giảm hiệu năng mạng.

Cụ thể. và phương pháp khôi phục dữ liệu đến một trang web phục hồi cần được kiểm thử. Trong trường hợp bị ảnh hưởng bởi một sự cố nghiêm trọng công ty nên có đủ dữ liệu và thông tin sẵn sàng để xây dựng lại ứng dụng tại một vị trí thay thế.Bước 16 – Cho phép thực thi và sử dụng. Môi trường triển khai và thử nghiệm phải không sử dụng dữ liệu sống. Các hệ thống phát hiện xâm nhập tại cấp độ ứng dụng. hệ thống. các phương pháp khác để việc kinh doanh vẫn được tiếp tục phải được cân nhắc. hạn chế hoặc xóa bỏ các rủi ro như thế nào. lỗi. Nếu có thể môi trường kiểm thử nên giống với môi trường thực tế. vị trí kiểm thử. xác định thời gian hoạt động nên giải thích tần suất kiểm thử. Trong trường hợp bồi thường sẽ không làm tổn thất tiềm năng. Cũng có thể cung cấp một cách thực hiện khác tạm thời trong một thời gian ngắn. Giao nhận và cung cấp Gồm các bước: Bước 21 – Xác định và quản lý các cấp độ ứng dụng. Nên luôn luôn sẵn sàng có thể xây dựng lại ứng dụng web từ đầu trên một host mới với dữ liệu sao lưu. và các thủ tục phải được thực hiện để thực thi SLA. … Bước 17-18 – Quản trị thay đổi. Kế hoạch này nên bao gồm một danh sách địa chỉ liên hệ của các đối tác có dịch vụ tương tác với ứng dụng web hoặc dịch vụ cần thiết cho chức năng của ứng dụng web được cập nhật thường xuyên. Cũng có thể thực hiện một mã nguồn hoặc mã nhị phân. Tiến trình kiểm soát thay đổi là cần thiết cho ứng dụng. Bước 25-33 – Đảm bảo tính liên tục của dịch vụ. Các trách nhiệm phải được xác định. Vị trí và cách truy cập đến các dữ liệu sao lưu từ bên ngoài cần được xem xét lại. Chắc chắn rằng cam kết dịch vụ (SLA) với các nhà cung cấp dịch vụ bên trong và bên ngoài phải được xác định rõ ràng. Bất kì biện pháp an ninh của một giao thức Internet nào cần được xác định và cần phải tạo ra các thủ tục để hiện các thông báo ngắn khi có sự thay đổi. Khả năng bảo mật của mọi đối tác liên quan để triển khai và thực thi ứng dụng cần được đánh giá. Nên cân nhắc làm thế nào để ánh xạ lại các tên miền trong trường hợp có sự cố. cấu hình. giám sát và ghi chép tài liệu. tài liệu và các phần mềm/thành phần/đăng kí – làm sao cho giống như với cấu hình một hệ thống thực tế. Thông thường sẽ bao gồm kiểm thử việc thâm nhập mạng lưới và thâm nhập ứng dụng. Các thủ tục bổ sung được yêu cầu cho việc thực thi ứng dụng. số lần hỏng. các thay đổi không được chấp nhận. thời gian time-out… SLA phải không trái với yêu cầu an ninh. Kiểm thử bảo mật cũng như các kiểm thử khác của ứng dụng nên được thực hiện. Bước 22-24 – Quản lý các dịch vụ do đối tác thứ 3 cung cấp. Tác động của bất cứ sự khác biệt nào với môi trường thực tế phải được đánh giá trước khi các thay đổi được áp dụng. nhưng tài nguyên để khôi phục lại ứng dụng do một sự cố kéo dài cần được phân tích. Ứng dụng có thể là chìa khóa của dịch vụ kinh doanh. Nếu việc bảo mật của ứng dụng tùy thuộc vào đối tác thứ 3 thì cần cân nhắc xem quản trị rủi ro như thế nào. Những yêu cầu này được triển khai riêng biệt và môi trường thử nghiệm phải càng gần với môi trường thực tế càng tốt. Bước 19-20 – Cài đặt và kiểm định các giải pháp và thay đổi. Những kiểm thử này phải được đánh giá và hiệu quả đủ để chắc chắn rằng thời gian để có thể được đưa ra thị trường không bị ảnh hưởng bởi sự chậm trễ trong cài đặt và công nhận. các thủ tục cần thực . Thậm chí cả những đơn giản nhất của trang web cũng cần được kiểm tra hàng ngày cho thời gian hoạt động. mạng cần được cài đặt. Quyền của tổ chức để kiểm tra và thực hiện việc kiểm thử bảo mật của tất cả các mạng và thiết bị mạng có liên quan tới ứng dụng cần phải được đảm bảo. Đối với bất kì phần nào của ứng dụng được xác định là thành phần cực kì quan trọng trong kinh doanh của công ty thì cần càng nỗ lực để duy trì tính khả dụng của chúng.

Các hướng dẫn hiện hành để đánh giá và kiểm tra ứng dụng web nên được xem xét. hay nội dung ví dụ chữ. Với các ứng dụng được host bởi đối tác thứ 3. kiểm soát truy cập và xác định tính hợp lệ đầy đủ của dữ liệu trước khi sử dụng. nên tới thăm các cơ sở của đối tác để đảm bảo rằng họ có đầy đủ biện pháp an ninh và bảo vệ khỏi thiệt hại. … Kiểm kê phần mềm nên bao gồm mọi tập lệnh (scripts). Đặc biệt với luồng dữ liệu đến và đi từ quốc gia khác phải được kiểm tra xem nó có được phép không và cách kiểm soát nào là cần thiết. nội dung được tải lên do người dùng. trích rút dữ liệu. Tính toàn vẹn của dữ liệu nên được đảm bảo thông qua thiết kế dữ liệu. Một số thiết bị có thể được chia sẻ với thiết bị khác và nó có thể không có đầy đủ chi tiết về cấu hình nhưng mọi thiết lập liên quan tới ứng dụng phải được quản lý. bao gồm cả hệ điều hành. Nên đánh giá lỗ hổng của ứng dụng thường xuyên và liên tục. hệ thống được kết nối.hiện báo cáo sự cố. Kiến thức về các lỗ hổng hiện tại trong phần mềm và phần cứng của ứng dụng nên được cập nhật. Phải kiểm tra các kiểm soát có thỏa mãn các quy định trong bước 1 hay không ví dụ giấy phép hoạt động của trang web/các điều khoản sử dụng có phù hợp với chính sách kinh doanh. và hợp đồng với đối tác thứ 3 được thực hiện theo đúng cam kết và có hiệu quả. tường lửa mạng và các tường lửa khác. . Ai là người truy cập vào các thiết bị và kiểm soát và đăng nhập truy cập của họ như thế nào cần phải được kiểm tra. Các phương pháp cho việc truyền mã nguồn ứng dụng và dữ liệu từ máy chủ ví dụ sao lưu. được quy định hoặc theo luật. người dùng quản trị. những cách thức này có thể là nội bộ. Bước 43 – Đạt được các đảm bảo độc lập. trộm cắp và mất mát. thành phần và thiết lập. Những thay đổi của cấu hình nên được phát hiện tự động kèm theo các cảnh báo thích hợp. Bước 40-41 – Quản lý môi trường vật lý. Định kỳ ứng dụng web nên được đánh giá độc lập bởi các chuyên gia bảo mật và pháp lý để đảm bảo rằng các cơ chế kiểm soát được cập nhật với các mối đe dọa hiện tại. Sự khác nhau của kết nối tới dữ liệu nên được dùng như khi nào thì xác thực khi nào không xác thực. sao chép tập tin. ứng dụng tuân thủ theo pháp luật hiện hành. phải luôn ghi lại hành động của những người này. logo. Lưu lượng sẽ và đang được gửi bởi ứng dụng nên được giám sát và đánh giá. nhật kí phải được xác định và kiểm soát truy cập để hạn chế những người thực hiện các hành động này. Chỉ các giao dịch hoàn thành mới được cam kết (committed) cho cơ sở dữ liệu và bất kì lỗi nào xẩy ra phải cuộn lại (rollback) tới trạng thái trước đó. phông nền. Kiểm kê phần cứng IT nên bao gồm tất cả các thiết bị ví dụ như thiết bị cân bằng tải. định danh người dùng. phần mềm là mã nguồn mở hay bản quyền … là các vấn đề phát sinh của hầu hết các ứng dụng web. Nếu có thể nên có một cấu hình chuẩn cho việc tải hệ điều hành. có vi phạm bản quyền không…Ngoài các yêu cầu về pháp lý cần kiểm tra lại các điều khoản trong hợp đồng hoặc bảo hiểm. Vấn đề sở hữu trí tuệ liên quan tới giao diện như ảnh. Bước 35-39 – Quản lý dữ liệu. việc phân quyền chỉ giới hạn khi nào thật sự cần thiết. Bước 34-35 – Quản lý cấu hình. Giám sát và đánh giá Gồm các bước sau: Bước 42 – Giám sát và đánh giá hiệu suất công nghệ thông tin. Nhà cung cấp của bất cứ phần mềm nào phải cung cấp bảo mật và các cập nhật khác theo yêu cầu. Ứng dụng nên bảo trì dữ liệu tuân thủ theo cách thức lưu trữ và xóa phù hợp. Bước 44 – Đảm bảo tuân thủ quy định. video.