Professional Documents
Culture Documents
Bảo mật website là quá trình đảm bảo tính toàn vẹn, sẵn sàng và bảo mật của trang
web. Mục đích chính của bảo mật trang web là bảo vệ thông tin và dữ liệu trên web khỏi
các cuộc tấn công trực tuyến. Từ đó giữ cho trang web hoạt động bình thường và bảo vệ
thông tin cho khách hàng truy cập website.
Bảo mật website là việc làm bảo trì website được an toàn hơn, đảm bảo vận hành
ổn định. Trong trường hợp xấu, nếu bị tấn công thì cũng sẽ giảm thiểu được tối đa thiệt
hại do hacker gây ra.
Việc bảo mật thông tin website là rất quan trọng. Vì việc này đảm bảo rằng thông
tin và dữ liệu của trang web không bị đánh cắp, thay đổi hay phá hủy. Những lý do quan
trọng để bảo mật thông tin website:
Bảo vệ thông tin cá nhân: Nếu trang web của bạn chứa thông tin cá nhân của
khách hàng. Ví dụ như tên, địa chỉ, số điện thoại và thông tin tài khoản ngân hàng.
Việc bảo mật thông tin sẽ giúp bảo vệ khách hàng của bạn khỏi việc mất cắp thông
tin cá nhân và tấn công lừa đảo.
Bảo vệ thông tin quan trọng: Nếu trang web của bạn chứa thông tin quan trọng
như bí mật kinh doanh, tài liệu nghiên cứu hay thông tin đăng nhập của nhân viên,
… Việc bảo mật thông tin sẽ giúp đảm bảo rằng thông tin này không bị đánh cắp,
truy cập trái phép.
Tăng uy tín của thương hiệu: Khi khách hàng tin tưởng vào tính bảo mật của
trang web của bạn. Họ sẽ tin tưởng hơn vào sản phẩm và dịch vụ của bạn. Điều
này có thể giúp tăng khả năng tiếp cận khách hàng mới và giữ chân khách hàng
hiện tại.
Tuân thủ pháp luật: Nhiều quy định và luật pháp yêu cầu các trang web bảo mật
thông tin khách hàng và không được phép chia sẻ thông tin này cho bên thứ ba.
Việc bảo mật thông tin trang web của bạn giúp đảm bảo tuân thủ các quy định và
luật pháp này.
Giảm thiểu rủi ro: Nếu trang web của bạn không được bảo mật, nó có thể bị tấn
công bởi các hacker hoặc phần mềm độc hại. Khi trang web của bạn bị tấn công,
nó có thể gây ra thiệt hại nghiêm trọng cho trang web của bạn, hoặc thậm chí đưa
toàn bộ doanh nghiệp của bạn vào rủi ro.
T
ấn công Cross-site scripting
1.2.3. Cross-Site Request Forgery (CSRF)
CSRF là viết tắt của Cross-Site Request Forgery (CSRF, XSRF), hay được biết
đến với các tên khác như Sea Surf, Session Riding. Đây là một kỹ thuật tấn công bằng
cách tạo ra các yêu cầu giả mạo từ một trang web khác để thực hiện các hoạt động trái
phép trên trang web đó.
Lỗ hổng CSRF (Cross Site Request Forgery)
Với sự trợ giúp của mạng xã hội (chẳng hạn như gửi liên kết qua email hoặc tin
nhắn), kẻ tấn công có thể lừa người dùng ứng dụng web thực hiện các hành động mà kẻ
tấn công chọn.
1.3. Các cách bảo mật website hiệu quả
Chính vì vậy mà những thông tin cá nhân như họ tên, số điện thoại, địa chỉ, số thẻ
ngân hàng,… sẽ được mã hóa, đảm bảo được tính bảo mật thông tin.
Sử dụng SSL/HTTPS để tăng độ bảo mật webiste
1.3.2. Luôn cập nhật phần mềm web server,
theme, plugin
Phần mềm web server, theme, plugin là những thành phần tạo nên một website
hoàn chỉnh. Các thành phần này cũng sẽ chứa các lổ hổng bảo mật tìm ẩn. Việc thường
xuyên cập nhật các bản và vừa là để sửa các lỗi của hệ thống, vừa giúp website của bạn
được bảo mật hơn.
Kích hoạt chức năng tự động cập nhật plugin trên WordPress
Đối với CMS WordPress thì bạn có thể cân nhắc bật tính năng tự động cập nhật
plugin, theme. Việc này sẽ giúp bạn tiết kiệm thời gian cập nhật thủ công nếu có quá
nhiều plugin, theme cần được cập nhật thường xuyên.
1.3.3. Tự động sao lưu dữ liệu
Sao lưu website định kỳ là một phần quan trọng trong chiến lược bảo vệ dữ liệu
của bạn. Việc sao lưu website thường xuyên giúp đảm bảo rằng bạn sẽ không mất dữ liệu
quan trọng nếu xảy ra sự cố. Ví dụ như tấn công từ hacker, lỗi phần mềm hoặc thậm chí
là mất điện.
Nếu website của bạn bị mất dữ liệu quan trọng hoặc bị tấn công và không có bản
sao lưu. Điều này có thể dẫn đến mất mát dữ liệu không thể khôi phục được và ảnh
hưởng đến hoạt động kinh doanh của bạn. Vì vậy, việc sao lưu website định kỳ là một
phần quan trọng của chiến lược bảo vệ dữ liệu của bạn.
Chính vì vậy, việc sao lưu dữ liệu và vô cùng cần thiết. Đối với các hệ thống lớn
được nhiều người sử dụng thì càng cần được sao lưu thường xuyên.
Sao lưu dữ liệu website thường xuyên
Ngoài ra, bạn có thể cân nhắc các giải pháp tự động sao lưu dữ liệu của các nhà
cung cấp dịch vụ hosting, máy chủ. Việc này sẽ giúp công tác bảo mật website của bạn
trở nên dễ dàng hơn.
1.3.4. Sử dụng mật khẩu mạnh, bảo mật 2 yếu
tố
Mật khẩu là yếu tố quan trọng trong cách bảo mật trang web. Hãy đảm bảo rằng
mật khẩu luôn được bảo mật và thay đổi định kỳ.
Sau đây là một số gợi ý để bảo vệ trang web của bạn khỏi tấn công DDOS:
Sử dụng tường lửa: Cài đặt tường lửa để giới hạn truy cập vào trang web của bạn
chỉ từ những người dùng được ủy quyền.
Sử dụng CDN: Sử dụng dịch vụ CDN (Content Delivery Network) để phân tán tài
nguyên của trang web trên nhiều máy chủ khác nhau. Điều này sẽ giúp giảm tải
trên máy chủ chính và giảm khả năng bị tấn công DDOS.
Sử dụng bộ lọc gói tin: Cài đặt bộ lọc gói tin để loại bỏ các gói tin tấn công trước
khi chúng đến được máy chủ của bạn.
Giới hạn số lượng kết nối đến trang web: Thiết lập giới hạn số lượng kết nối đến
trang web của bạn để giảm khả năng bị tấn công DDOS.
Sử dụng giải pháp chống tấn công DDOS: Sử dụng các giải pháp chống tấn
công DDOS như Cloudflare, Incapsula, Akamai, v.v.
Đối với tình hình an ninh mạng như hiện nay thì các cơ quan, tổ chức cần có
các hệ thống giám sát an ninh mạng và các giải pháp an ninh mạng hiệu quả để bảo vệ an
toàn thông tin một cách tuyệt đối.
Tại Việt Nam, những năm gần đây khi mạng xã hội và nền tảng internet bắt đầu
bùng nổ và phát triển. Quốc hội đã đề ra các giải pháp an toàn thông tin mạng như các bộ
luật, các dự án luật được điều chỉnh phù hợp với tình hình mới này:
Luật cơ yếu
Ngoài ra trong một số bộ luật khác có yếu tố liên quan đến an ninh bảo mật
mạng cũng được điều chỉnh phù hợp.
Bên cạnh đó, để việc đảm bảo an toàn thông tin mạng được triệt để và hiệu quả nhiều tổ
chức chính phủ cũng đã được thành lập như:
Bộ Thông tin truyền thông – cơ quan quản lý nhà nước về an toàn thông tin mạng
Bộ quốc phòng bảo vệ chủ quyền không gian mạng quốc gia
Với sự phát triển của công nghệ và Internet, các cuộc tấn công mạng vào hệ thống
Internet Banking và ngân hàng di động ngày càng tinh vi và phức tạp hơn. Các hacker có
thể sử dụng các kĩ thuật tấn công như mã độc, tấn công giả mạo (Phishing) hoặc tấn công
từ chối dịch vụ (DDoS) để tấn công vào hệ thống và chiếm quyền điều khiển các tài
khoản của khách hàng.
Để đảm bảo an ninh, bảo mật cho Internet Banking, tác giả đưa ra một số giải
pháp cho các ngân hàng và khách hàng như sau:
- Bảo vệ trình duyệt: Bảo vệ cấp trình duyệt Internet được sử dụng để truy cập hệ
thống ngân hàng và một phần bộ nhớ trình duyệt để phát hiện phần mềm độc hại, ngăn
chặn việc bị đánh cắp thông tin nhạy cảm.
- Đăng kí thiết bị: Cần đăng kí các thiết bị để truy cập vào Internet Banking; mật
khẩu chi tiết và thông tin đăng nhập được yêu cầu khi ghép nối các thiết bị khác nhau.
Đăng nhập ứng dụng ngân hàng bằng vân tay, gương mặt, mống mắt cũng có thể được sử
dụng như một phương pháp bảo mật bổ sung.
- Nhận dạng chủ động: Người dùng cần nhập một số thông tin bí mật, chuỗi khóa,
PIN, địa chỉ xác minh… mà chỉ người đó biết để xác thực.
- Giám sát giao dịch: Phát hiện, cảnh báo và ngăn chặn gian lận được thực hiện
bằng phân tích lịch sử giao dịch với các ứng dụng trí tuệ nhân tạo.
- Chứng chỉ số: Có thể được quản lí từ xa hoặc có thể được sử dụng đồng thời bởi
nhiều người dùng.
- Phần mềm chống virus phải được cài đặt và cập nhật: Thực hiện quét virus trên
cả thiết bị người dùng và máy chủ Internet thường xuyên.
- Không được vào các liên kết không an toàn và thông tin cá nhân để tránh bị lừa
đảo: Các liên kết giả mạo có thể được hiển thị dưới dạng quảng cáo, đặc biệt là trên
phương tiện truyền thông mạng xã hội. Hạn chế kết nối mạng không bảo mật như các địa
chỉ wifi miễn phí, địa chỉ wifi cộng đồng hoặc không xác định danh tính IP.
- Các ứng dụng ngân hàng, chỉ nên tải xuống thông qua kho ứng dụng chính thức
như từ Apple, Amazon, Google… vì nó đã được sàng lọc các lỗi bảo mật.
- Số dư tài khoản nên được kiểm tra thường xuyên.
- Sử dụng mật khẩu một lần (OTP) và các tính năng sinh trắc học như nhận dạng
vân tay, giọng nói, mống mắt hoặc khuôn mặt: Hệ thống nhận dạng sinh trắc học được
phát triển cho các thiết bị di động đang được tích hợp và sử dụng trong các ứng dụng
Internet Banking, do đó, cùng với sự phát triển của công nghệ thông tin và điện tử truyền
thông, sẽ có nhiều tính năng bảo mật di động ra đời, ví dụ như công nghệ Lidar cho phép
quét vật thể đa chiều thay vì nhận dạng gương mặt hai chiều như hiện tại (có thể bị hack
bởi hình ảnh hoặc video của chủ tài khoản).
Giải pháp mà nhiều công ty lớn trên thế giới hiện áp dụng chính là hệ thống quản
lý bảo mật thông tin (ISMS). ISMS được đưa ra không chỉ là một giải pháp để thể hiện
chức năng của nó như một công cụ bảo mật thông tin với chu kỳ 4 bước (thiết kế, thực
hiện, giám sát và duy trì) mà còn góp phần làm thay đổi những ngộ nhận về việc bảo mật
thông tin hiện nay của doanh nghiệp. Một số doanh nghiệp Việt Nam hiện cũng đang áp
dụng giải pháp này như là một biện pháp nhằm tăng cường tính bảo mật của mình trong
thời kỳ hội nhập toàn cầu.
“ISMS không chỉ giới hạn trong vấn đề quản lý thông tin được xử lý bởi các phương tiện
điện tử mà còn có thể là thông tin ở các dạng khác như thông tin được viết trên giấy, lưu
trữ dạng tập tin điện tử, gửi đi bằng đường bưu điện, email hoặc được trao đổi bằng lời
nói. ISMS là một phần của hệ thống quản lý toàn diện trong doanh nghiệp, chủ yếu là
tiếp cận với rủi ro trong kinh doanh để thiết lập, thực thi, vận hành, giám sát, xem xét,
duy trì và cải thiện bảo mật thông tin.
Sẽ có nhiều cách để thực hiện việc thiết lập và triển khai ISMS, hầu hết các tổ
chức sẽ dựa vào quy trình được nghiên cứu bởi tiêu chuẩn an ninh quốc tế ISO 27001.
Các bước triển khai minh hoạ như sau:
Xác định phạm vi và mục tiêu: Loại tài sản nào cần được bảo vệ, xem xét về
mức độ của ưu tiên cũng như yêu cầu về bảo vệ của các bên liên quan.
Xác định tài sản: Xác định tài sản cần được bảo vệ.
Phát hiện rủi ro: Sau khi xác định loại tài sản cần được bảo vệ thì cần thực hiện
phân tích các yếu tố rủi ro để đưa ra đánh giá.
Xác định các biện pháp giảm thiểu: Đưa ra các biện pháp giảm thiểu nhằm điều
trị hoàn toàn những rủi ro đã được xác định một cách hiệu quả.
Kiểm tra hiệu quả: Theo sát và đánh giá liên tục để kiểm soát tốt hiệu quả của
biện pháp được áp dụng.
Cải tiến: Thực hiện đánh giá về tính hiệu quả của biện pháp được áp dụng. Thực
hiện thay đổi hoặc đưa ra các cách tiếp cận khác để giảm thiểu rủi ro cho các
thông tin.
Trong lĩnh vực y tế cũng như với hầu hết các ngành nghề rủi ro bảo mật là rất lớn.
Các giải pháp bảo mật thường có xuất phát điểm là xác định đối tượng quan trọng nhất
cần được bảo vệ và tìm ra cách bảo vệ tốt nhất. Trong trường hợp này là dữ liệu bệnh
nhân, nhưng dữ liệu đó không chỉ được lưu trong tủ tài liệu tại kho phía sau văn phòng,
mà hiện hữu ở khắp mọi nơi: trên máy tính xách tay, thiết bị di động, máy chủ, trong các
dịch vụ đám mây. Dữ liệu bị phân mảnh, dẫn đến khó xác định chắc chắn vị trí của dữ
liệu và ai có quyền truy cập.
Như vậy, cần có một cách tiếp cận thống nhất đối với dữ liệu chăm sóc sức khỏe.
Bất kể dữ liệu nằm ở đâu thì cần phải đảm bảo một mức độ kiểm soát kỹ thuật nhất định
đối với dữ liệu dựa trên đối tượng cần quyền truy cập. Ngoài ra, vì dữ liệu đó được
chuyển tiếp giữa các trung tâm dữ liệu truyền thống và đám mây, nên cần có khả năng
theo dõi vị trí và xác định liệu dữ liệu có quyền mà nó được chỉ định hay không.
Để giúp giải quyết các vấn đề trên, McAfee đã tập trung vào các vấn đề chuyên
sâu trong ngành y tế (và các ngành dọc khác) như:
Hình 2: Các vấn đề mà McAfee tập trung nghiên cứu trong lĩnh vực y tế
McAfee có 3 hướng tiếp cận để giải quyết và giảm thiểu những lo ngại này:
- Phương pháp tiếp cận nền tảng: Quản lý và điều phối hợp nhất để đem lại trải
nghiệm người dùng nhất quán và thông tin chi tiết khác biệt, được cung cấp trên đám
mây. Trong đó, McAfee tập trung vào các Dịch vụ được Quản lý dựa trên Nền tảng.
- Giảm thiểu tác động của thiết bị: Chức năng bảo vệ, phát hiện và phản hồi
mạnh mẽ nhưng ít xâm lấn thông qua công nghệ toàn diện (full-stack), quản lý công cụ
gốc và cách ly trình duyệt như một dịch vụ. Điều này ngày càng trở nên quan trọng vì
môi trường chăm sóc sức khỏe điển hình ngày càng có nhiều thiết bị đầu cuối nhưng vẫn
bị hạn chế về tài nguyên như RAM và CPU.
- Bảo mật đám mây thống nhất: Việc thống nhất các công nghệ Trung tâm dữ
liệu mở rộng, cổng web tích hợp/SaaS, DLP và CASB mang lại một mạng lưới an toàn để
dữ liệu di chuyển lên đám mây, cũng như khả năng thực thi các biện pháp kiểm soát khi
dữ liệu chuyển từ tại chỗ lên các dịch vụ đám mây. Hơn nữa, việc hợp nhất DLP và
CASB sẽ dẫn đến ra đời một Chính sách cho cả hai mô hình, giúp công tác quản trị đơn
giản và nhất quán hơn. Xác định và thực thi chính sách một cách nhất quán là điều kiện
lý tưởng cho việc chăm sóc sức khỏe, trong đó quyền riêng tư về dữ liệu của bệnh nhân là
điều thiết yếu.
2.5. Thực hiện đảm bảo an toàn khi truy cập website trên môi trường mạng
Khi thực hiện một giao dịch trực tuyến trên website bất kỳ, điều quan trọng mà
bạn cần phải lưu ý là website đó có an toàn hay không, độ bảo mật có cao không. Bạn có
thể dễ dàng nhận ra điều này sau 5 dấu hiệu dưới đây:
Đầu tiên, URL trên thanh địa chỉ của trình duyệt phải bắt đầu bằng https:// và icon
hình ổ khóa ở phía trước thanh địa chỉ (lưu ý ổ khóa phải xuất hiện trên thanh địa chỉ
trình duyệt chứ không phải trong nội dung website).
Dấu hiệu này chứng tỏ website đã được bảo vệ bởi “Secure Sockets Layer” (SSL),
một giao thức mã hóa đảm bảo thông tin được trao đổi một cách an toàn thông qua một
chứng chỉ số SSL được tin cậy.
Thanh địa chỉ có hiển thị tên công ty quản lý website và có màu xanh lá
Khi bạn truy cập vào website được trang bị chứng chỉ số Extended Validation
(EV) thì thanh trình duyệt hiển thị chính tên công ty đang quản lý và vận hành, đảm bảo
tính xác thực chặt chẽ. Bạn cũng sẽ không khó nhận ra khi thanh công cụ có màu xanh lá.
Kiểm tra địa chỉ URL trên trình duyệt
Thoạt nhìn vào địa chỉ trên trình duyệt, bạn sẽ rất dễ nhìn lầm và tưởng đó là
website bạn cần. Có những trường hợp website được thêm một vài ký tự để đánh lừa
người dùng. Những website kiểu này hoàn toàn có thể đánh lừa các hang uy tín để mua
một chứng chỉ SSL giá rẻ, mức xác minh tên miền, vốn xử lý quy trình rất đơn giản và tự
động.
Để ý cụm từ https:// và biểu tượng ổ khóa trên thanh địa chỉ có màu đỏ
không?
Khi truy cập vào một website sử dụng chứng chỉ số SSL đã hết hạn, chứng chỉ số
tự cấp phát hoặc được cấp phát bởi một hãng không đáng tin cậy, trình duyệt sẽ hiển thị
một cảnh báo bảo mật. Khi đó thanh địa chỉ trình duyệt sẽ chuyển sang màu đỏ, và cụm
từ https:// và biểu tượng ổ khóa sẽ bị đánh dấu chéo đỏ.
Trong trường hợp này, dữ liệu trao đổi tại website vẫn sẽ được mã hóa, tuy nhiên
bạn sẽ không thể biết liệu công ty hiển thị trên chứng chỉ số SSL có phải thật sự là công
ty sở hữu và vận hành website đó hay không.
2.6. Bật tính năng duyệt web an toàn nâng cao trên trình duyệt Chrome
Safe Browsing Enhanced là tính năng duyệt web an toàn nâng cao trên trình duyệt
Chrome, đây là công cụ tích hợp trong Chrome bao gồm danh sách các URL nguy hiểm
được Google tổng hợp và quản lý, giúp bảo vệ người dùng tránh khỏi các website độc
hại. Điều này cho phép đánh giá mối đe dọa chính xác và chủ động hơn. Để kích hoạt
tính năng này, người dùng thao tác cụ thể như sau:
Bước 1: Nhấn vào biểu tượng ba dấu chấm đặt dọc ở góc trên cùng bên phải của
giao diện Chrome, sau đó lựa chọn Cài đặt.
Bước 2: Trong phần Cài đặt, người dùng chọn mục Quyền riêng tư và bảo mật, tại
cửa sổ này chọn Bảo mật.
Bước 3: Chọn Chế độ bảo vệ nâng cao để kích hoạt tính năng chủ động bảo vệ và
cảnh báo an toàn khi duyệt web của Google.
Trong quá trình giao dịch trực tuyến trên một website bất kỳ thì điều quan trọng
người dùng cần lưu ý đó chính là độ tin cậy và bảo mật của website đó.
TRANSPARENCY REPORT
Hiện nay Google đang cung cấp cho người dùng công cụ Google
Transparency Report để хáᴄ định mức độ an toàn của website và thông báo ᴄho người
dùng hoặᴄ ᴄáᴄ quản trị ᴠiên, nhằm nâng cao cảnh giác giúp tránh khỏi các mối nguу hại
tiềm ẩn. Google Transparency Report ѕẽ ᴄung ᴄấp ᴄáᴄ thông tin ᴄhi tiết ᴠề ᴄáᴄ mối đe
dọa (haу hiểm họa) mà Google đã phát hiện, ᴄũng như ᴄáᴄ ᴄảnh báo mà Google tìm thấy.
Từ đó, làm rõ tình trạng bảo mật ᴡebѕite mà người dùng muốn truy cập ᴠà khuуến nghị
ᴄáᴄ biện pháp bảo mật an toàn hơn. Công cụ này được tích hợp sử dụng Safe Browsing
API, vì vậy mà chất lượng của công cụ kiểm tra, quét thông tin website và các kết quả
đánh giá từ nó hoàn toàn đáng tin cậy với độ chính xác cao. Để rõ hơn cách thức sử dụng
tính năng này, người dùng thao tác theo các bước sau đây:
Ngoài Google Transparency Report thì thị trường hiện nay cũng đang có rất
nhiều công cụ hỗ trợ người dùng trong việc kiểm tra độ tin cậy của website như: Norton
Safe Web, URL Void, Norton Safe Web, VirusTotal… đây đều là những công cụ giúp bảo
vệ người dùng trước các mối đe dọa bảo mật dựa trên liên kết từ các phần mềm độc hại,
điển hình như ransomware, email giả mạo và các website cố gắng lừa đảo thông tin của
người dùng...
Quản lý định danh và phân quyền truy cập (Identity and Access Management -
IAM) là một thuật ngữ chung bao gồm các sản phẩm, quy trình và chính sách được sử
dụng để quản lý định danh người dùng và điều chỉnh quyền truy cập của người dùng
trong một tổ chức
Hệ thống IAM được thiết kế để thực hiện ba nhiệm vụ chính : xác định, xác thực
và ủy quyền. Có nghĩa là, chỉ những người phù hợp mới có quyền truy cập vào máy tính,
phần cứng, ứng dụng phần mềm, bất kỳ tài nguyên CNTT nào hoặc thực hiện các tác vụ
cụ thể.
Một số thành phần IAM cốt lõi tạo nên khung IAM bao gồm:
Cơ sở dữ liệu chứa danh tính của người dùng và đặc quyền truy cập
Các công cụ IAM để tạo, giám sát, sửa đổi và xóa các đặc quyền truy cập