CHƯƠNG 1.

AN TOÀN VÀ BẢO MẬT CƠ SỞ DỮ LIỆU CHO

WEBSITES

1.1. Tổng quan về bảo mật website

Bảo mật website là quá trình đảm bảo tính toàn vẹn, sẵn sàng và bảo mật của trang
web. Mục đích chính của bảo mật trang web là bảo vệ thông tin và dữ liệu trên web khỏi
các cuộc tấn công trực tuyến. Từ đó giữ cho trang web hoạt động bình thường và bảo vệ
thông tin cho khách hàng truy cập website.

Bảo mật website là việc làm bảo trì website được an toàn hơn, đảm bảo vận hành
ổn định. Trong trường hợp xấu, nếu bị tấn công thì cũng sẽ giảm thiểu được tối đa thiệt
hại do hacker gây ra.

Việc bảo mật thông tin website là rất quan trọng. Vì việc này đảm bảo rằng thông
tin và dữ liệu của trang web không bị đánh cắp, thay đổi hay phá hủy. Những lý do quan
trọng để bảo mật thông tin website:
 Bảo vệ thông tin cá nhân: Nếu trang web của bạn chứa thông tin cá nhân của
khách hàng. Ví dụ như tên, địa chỉ, số điện thoại và thông tin tài khoản ngân hàng.
Việc bảo mật thông tin sẽ giúp bảo vệ khách hàng của bạn khỏi việc mất cắp thông
tin cá nhân và tấn công lừa đảo.
  Bảo vệ thông tin quan trọng: Nếu trang web của bạn chứa thông tin quan trọng
như bí mật kinh doanh, tài liệu nghiên cứu hay thông tin đăng nhập của nhân viên,
… Việc bảo mật thông tin sẽ giúp đảm bảo rằng thông tin này không bị đánh cắp,
truy cập trái phép.
 Tăng uy tín của thương hiệu: Khi khách hàng tin tưởng vào tính bảo mật của
trang web của bạn. Họ sẽ tin tưởng hơn vào sản phẩm và dịch vụ của bạn. Điều
này có thể giúp tăng khả năng tiếp cận khách hàng mới và giữ chân khách hàng
hiện tại.
 Tuân thủ pháp luật: Nhiều quy định và luật pháp yêu cầu các trang web bảo mật
thông tin khách hàng và không được phép chia sẻ thông tin này cho bên thứ ba.
Việc bảo mật thông tin trang web của bạn giúp đảm bảo tuân thủ các quy định và
luật pháp này.
 Giảm thiểu rủi ro: Nếu trang web của bạn không được bảo mật, nó có thể bị tấn
công bởi các hacker hoặc phần mềm độc hại. Khi trang web của bạn bị tấn công,
nó có thể gây ra thiệt hại nghiêm trọng cho trang web của bạn, hoặc thậm chí đưa
toàn bộ doanh nghiệp của bạn vào rủi ro.

1.2. Các lỗ hổng bảo mật của website thường gặp

1.2.1. SQL Injection

Đây là một kỹ thuật tấn công bằng cách chèn các lệnh SQL độc hại vào các trang
web hoặc các trường đầu vào của trang web. SQL Injection nói riêng và các lỗi Injection
khác đều là những lỗ hổng kinh điển trong bảo mật hệ thống website. Hacker sẽ lợi dụng
lỗi này thực hiện các câu lệnh truy vấn lên trên cơ sở dữ liệu của website. Từ đó cho phép
tin tặc truy cập, sửa đổi hoặc xóa dữ liệu từ cơ sở dữ liệu.
 Lỗ hổng SQL Injection
SQL Injection là một lỗi khá dễ để khắc phục, hầu hết các framework, thư viện
ngôn ngữ lập trình hiện nay đều có tích hợp sẵn các lệnh để hạn chế nguy cơ bảo mật này.
Tuy vậy, do không cẩn thận trong việc bảo mật trang web mà lỗ hổng SQL Injection vẫn
bị các hacker khai thác rất nhiều.
1.2.2. Cross-site Scripting (XSS)
Đây là một loại kỹ thuật tấn công bằng cách chèn mã độc vào trang web. Khiến
người dùng truy cập vào trang web bị mắc kẹt. Từ đó hacker có thể lấy thông tin người
dùng, thực hiện các hoạt động xấu khác trên trang web đó.

T
ấn công Cross-site scripting
1.2.3. Cross-Site Request Forgery (CSRF)
CSRF là viết tắt của Cross-Site Request Forgery (CSRF, XSRF), hay được biết
đến với các tên khác như Sea Surf, Session Riding. Đây là một kỹ thuật tấn công bằng
cách tạo ra các yêu cầu giả mạo từ một trang web khác để thực hiện các hoạt động trái
phép trên trang web đó.
 Lỗ hổng CSRF (Cross Site Request Forgery)
Với sự trợ giúp của mạng xã hội (chẳng hạn như gửi liên kết qua email hoặc tin
nhắn), kẻ tấn công có thể lừa người dùng ứng dụng web thực hiện các hành động mà kẻ
tấn công chọn.
1.3. Các cách bảo mật website hiệu quả

1.3.1. Sử dụng giao thức HTTPS/SSL

Chứng chỉ bảo mật SSL rất quan trọng đối với mỗi website đặc biệt là các website
có thực hiện các giao dịch trực tuyến. SSL sẽ giúp mã hóa thông tin khách hàng khi
khách hàng gửi những thông tin đó đến phía máy chủ website và ngược lại.

Chính vì vậy mà những thông tin cá nhân như họ tên, số điện thoại, địa chỉ, số thẻ
ngân hàng,… sẽ được mã hóa, đảm bảo được tính bảo mật thông tin.
 Sử dụng SSL/HTTPS để tăng độ bảo mật webiste
1.3.2. Luôn cập nhật phần mềm web server,
theme, plugin
Phần mềm web server, theme, plugin là những thành phần tạo nên một website
hoàn chỉnh. Các thành phần này cũng sẽ chứa các lổ hổng bảo mật tìm ẩn. Việc thường
xuyên cập nhật các bản và vừa là để sửa các lỗi của hệ thống, vừa giúp website của bạn
được bảo mật hơn.

Kích hoạt chức năng tự động cập nhật plugin trên WordPress
Đối với CMS WordPress thì bạn có thể cân nhắc bật tính năng tự động cập nhật
plugin, theme. Việc này sẽ giúp bạn tiết kiệm thời gian cập nhật thủ công nếu có quá
nhiều plugin, theme cần được cập nhật thường xuyên.
1.3.3. Tự động sao lưu dữ liệu
Sao lưu website định kỳ là một phần quan trọng trong chiến lược bảo vệ dữ liệu
của bạn. Việc sao lưu website thường xuyên giúp đảm bảo rằng bạn sẽ không mất dữ liệu
quan trọng nếu xảy ra sự cố. Ví dụ như tấn công từ hacker, lỗi phần mềm hoặc thậm chí
là mất điện.
Nếu website của bạn bị mất dữ liệu quan trọng hoặc bị tấn công và không có bản
sao lưu. Điều này có thể dẫn đến mất mát dữ liệu không thể khôi phục được và ảnh
hưởng đến hoạt động kinh doanh của bạn. Vì vậy, việc sao lưu website định kỳ là một
phần quan trọng của chiến lược bảo vệ dữ liệu của bạn.
Chính vì vậy, việc sao lưu dữ liệu và vô cùng cần thiết. Đối với các hệ thống lớn
được nhiều người sử dụng thì càng cần được sao lưu thường xuyên.
Sao lưu dữ liệu website thường xuyên
Ngoài ra, bạn có thể cân nhắc các giải pháp tự động sao lưu dữ liệu của các nhà
cung cấp dịch vụ hosting, máy chủ. Việc này sẽ giúp công tác bảo mật website của bạn
trở nên dễ dàng hơn.
1.3.4. Sử dụng mật khẩu mạnh, bảo mật 2 yếu
tố
Mật khẩu là yếu tố quan trọng trong cách bảo mật trang web. Hãy đảm bảo rằng
mật khẩu luôn được bảo mật và thay đổi định kỳ.

Sử dụng mật khẩu mạnh là cách bảo mật trang web

Một vài lưu ý khi sử dụng mật khẩu
  Không sử dụng mật khẩu quá đơn giản, dễ đoán như: dãy số, ngày tháng năm sinh,
… Thay vào đó, người dùng đặt mật khẩu có chữ cái in hoa, số, và cả ký tự đặc
biệt.
 Không sử dụng một mật khẩu cho nhiều trang web/ứng dụng khác nhau.
Ngoài ra, để tăng cường tính bảo mật, bạn hãy sử dụng phương thức bảo mật 2 yếu
tố (2FA) cho những lần đăng nhập vào website. Có thể sử dụng một vài ứng dụng bên thứ
3 có độ bảo mật cao như Microsoft Authenticator, Google Authenticator,…
1.3.5. Chỉ sử dụng những plugin cần thiết
Plugin là công cụ hỗ trợ đắc lực cho nhà quản trị website, tuy vậy, chỉ nên cài
những plugin thật sự cần thiết. Các plugin hầu như đều được cung cấp bởi một bên thứ
ba, không phải là nhà phát triển mã nguồn. Chính vì vậy, vẫn có thể tồn tại nhiều lỗ hổng
bảo mật mà hacker có thể khai thác.

Chỉ sử dụng những plugin cần thiết

Bên cạnh đó, việc cài đặt nhiều plugin không cần thiết cũng sẽ khiến website của
bạn trở nên nặng hơn. Đồng thời làm tăng thời gian tải trang, ảnh hưởng không tốt đến
trải nghiệm người dùng.
1.3.6. Sử dụng dịch vụ bảo mật website
Sử dụng dịch vụ bảo mật là một trong những cách bảo mật website hiệu quả.
Dịch vụ bảo mật website cung cấp nhiều tính năng bảo mật như:
 Giám sát website.
 Chống tấn công từ bên ngoài.
 Chống virus và phần mềm độc hại.
 Mã hóa dữ liệu.
  Chống spam.
 Tăng cường bảo mật cho các hệ thống đăng nhập.
 Quản lý tài khoản.
 Và nhiều tính năng khác.
Một trong những lợi ích của việc sử dụng dịch vụ bảo mật là bạn không cần phải
lo lắng về việc triển khai và quản lý các giải pháp bảo mật. Thay vào đó, các nhà cung
cấp dịch vụ bảo mật sẽ giúp bạn giải quyết các vấn đề bảo mật và cung cấp các giải pháp
hiệu quả để bảo vệ website của bạn.

Sử dụng dịch vụ từ bên thứ ba giúp bạn bảo mật website

1.3.7. Thay đổi đường dẫn URL đăng nhập
trang quản lý
Đổi URL đăng nhập trang quản lý là một trong những các phương pháp bảo mật
website hiệu quả. Thay đổi URL đăng nhập sẽ làm cho các kẻ tấn công khó có thể truy
cập vào trang đăng nhập của bạn. Vì họ không thể tìm được trang đăng nhập theo cách
thông thường.
Theo mặc định, WordPress sử dụng đường dẫn /wp-admin và Joomla sử dụng
/administrator/index.php cho trang đăng nhập. Tuy nhiên, nếu bạn thay đổi đường dẫn
đăng nhập này để khác với giá trị mặc định, sẽ làm khó khăn hơn cho hacker nếu có ý
định tấn công website của bạn.
1.3.8. Phân quyền tài khoản đăng nhập website
hợp lý
Nếu website có hàng chục tới hàng trăm thành viên tham gia đóng góp và xây
dựng website, từ content tới code. Việc quản lý website có thể gặp nhiều vấn đề.
Để giải quyết vấn đề này, cần phân quyền hợp lý cho mỗi thành viên dựa trên vai
trò của họ. Cuối cùng, nhớ xóa tài khoản của những thành viên không còn làm việc trên
website nữa.
 Phân
quyền tài khoản đăng nhập website hợp lý
1.3.9. Bảo vệ website khỏi tấn công DDOS
Tấn công DDOS (Distributed Denial of Service) là một trong những hình thức tấn
công phổ biến nhất hiện nay. Đặc biệt là đối với các trang web có lượng truy cập lớn. Các
hình thức tấn công DDOS:
 Tấn công Lớp ứng dụng
Tấn công Lớp ứng dụng là hình thức đơn giản nhất của DDoS; chúng bắt chước
yêu cầu của máy chủ. Nói cách khác, máy tính hoặc thiết bị của botnet cùng truy cập vào
máy chủ hoặc vào trong web, một điều như một người dùng bình thường sẽ thực hiện.
Như do Tấn công DDoS cao cấp hơn, số lượng yêu cầu tưởng-như-chính-thống trở
nên quá nhiều trong khả năng xử lý của server và hệ thống bị sập.
 Tấn công giao thức
Tấn công giao thức (protocol) lợi dụng các các máy chủ xử lý dữ liệu để khiến
chúng bị quá tải và che khuất mục tiêu dự định.
Trong một vài biến thể của tấn công giao thức, botnet sẽ gởi các gói dữ liệu để
máy chủ sắp xếp. Sau đó máy chủ đợi nhận xác nhận của địa chỉ IP nguồn, vốn là điều
không bao giờ xảy ra. Và máy chủ cứ tiếp tục “ngốn” thêm hằng hà vô số các gói dữ liệu
và phải bung ra (mà không có chiều xử lý).
Với một số biến thể khác, chúng gởi các gói dữ liệu đơn giản chỉ là không thể
đóng gói lại nên nguồn tài nguyên của máy chủ bị quá tải khi cố xử lý các gói đó.
 Tấn công Khối lượng
Tấn công Khối lượng (Volumetric) giống với tấn công ứng dụng, nhưng có một
chút bất ngờ vào phút chót. Với hình thức này, toàn bộ băng thông của máy chủ hiện có
sẽ bị ngập trong yêu cầu của botnet vốn đã bị thổi phồng lên bằng cách nào đó.
Ví dụ, thỉnh thoảng botnet có thể lừa máy chủ gửi đi khối lượng dữ liệu khủng.
Điều đó nghĩa là máy chủ phải xử lý việc tiếp nhận, sắp xếp, gửi và nhận dữ liệu đó một
lần nữa.

Sau đây là một số gợi ý để bảo vệ trang web của bạn khỏi tấn công DDOS:
 Sử dụng tường lửa: Cài đặt tường lửa để giới hạn truy cập vào trang web của bạn
chỉ từ những người dùng được ủy quyền.
 Sử dụng CDN: Sử dụng dịch vụ CDN (Content Delivery Network) để phân tán tài
nguyên của trang web trên nhiều máy chủ khác nhau. Điều này sẽ giúp giảm tải
trên máy chủ chính và giảm khả năng bị tấn công DDOS.
 Sử dụng bộ lọc gói tin: Cài đặt bộ lọc gói tin để loại bỏ các gói tin tấn công trước
khi chúng đến được máy chủ của bạn.
 Giới hạn số lượng kết nối đến trang web: Thiết lập giới hạn số lượng kết nối đến
trang web của bạn để giảm khả năng bị tấn công DDOS.
 Sử dụng giải pháp chống tấn công DDOS: Sử dụng các giải pháp chống tấn
công DDOS như Cloudflare, Incapsula, Akamai, v.v.

Bảo vệ website khỏi tấn công DDOS

 CHƯƠNG 2. THỰC TIỄN HỆ THỐNG CƠ SỞ DỮ LIỆU CỦA
WEBSITES TẠI CÁC DOANH NGHIỆP, CƠ QUAN, ĐƠN VỊ

2.1. Cơ quan chính phủ

Đối với tình hình an ninh mạng như hiện nay thì các cơ quan, tổ chức cần có
các hệ thống giám sát an ninh mạng và các giải pháp an ninh mạng hiệu quả để bảo vệ an
toàn thông tin một cách tuyệt đối.

Tại Việt Nam, những năm gần đây khi mạng xã hội và nền tảng internet bắt đầu
bùng nổ và phát triển. Quốc hội đã đề ra các giải pháp an toàn thông tin mạng như các bộ
luật, các dự án luật được điều chỉnh phù hợp với tình hình mới này:

 Luật An toàn thông tin mạng

 Luật An Ninh mạng

 Luật cơ yếu

 Luật bảo vệ bí mật nhà nước

 Luật giao dịch điện tử nhà nước

Ngoài ra trong một số bộ luật khác có yếu tố liên quan đến an ninh bảo mật
mạng cũng được điều chỉnh phù hợp.
Bên cạnh đó, để việc đảm bảo an toàn thông tin mạng được triệt để và hiệu quả nhiều tổ
chức chính phủ cũng đã được thành lập như:

 Bộ Thông tin truyền thông – cơ quan quản lý nhà nước về an toàn thông tin mạng

 Bộ công an – quản lý nhà nước về an toàn thông tin mạng

 Bộ quốc phòng bảo vệ chủ quyền không gian mạng quốc gia

 Ban cơ yếu chính phủ và cơ quan mật mã quốc gia

2.2. Ngân hàng và tài chính

Với sự phát triển của công nghệ và Internet, các cuộc tấn công mạng vào hệ thống
Internet Banking và ngân hàng di động ngày càng tinh vi và phức tạp hơn. Các hacker có
thể sử dụng các kĩ thuật tấn công như mã độc, tấn công giả mạo (Phishing) hoặc tấn công
từ chối dịch vụ (DDoS) để tấn công vào hệ thống và chiếm quyền điều khiển các tài
khoản của khách hàng.

Để đảm bảo an ninh, bảo mật cho Internet Banking, tác giả đưa ra một số giải
pháp cho các ngân hàng và khách hàng như sau:

- Bảo vệ trình duyệt: Bảo vệ cấp trình duyệt Internet được sử dụng để truy cập hệ
thống ngân hàng và một phần bộ nhớ trình duyệt để phát hiện phần mềm độc hại, ngăn
chặn việc bị đánh cắp thông tin nhạy cảm.

- Đăng kí thiết bị: Cần đăng kí các thiết bị để truy cập vào Internet Banking; mật
khẩu chi tiết và thông tin đăng nhập được yêu cầu khi ghép nối các thiết bị khác nhau.
Đăng nhập ứng dụng ngân hàng bằng vân tay, gương mặt, mống mắt cũng có thể được sử
dụng như một phương pháp bảo mật bổ sung.

- Nhận dạng chủ động: Người dùng cần nhập một số thông tin bí mật, chuỗi khóa,
PIN, địa chỉ xác minh… mà chỉ người đó biết để xác thực.

- Giám sát giao dịch: Phát hiện, cảnh báo và ngăn chặn gian lận được thực hiện
bằng phân tích lịch sử giao dịch với các ứng dụng trí tuệ nhân tạo.

- Chứng chỉ số: Có thể được quản lí từ xa hoặc có thể được sử dụng đồng thời bởi
nhiều người dùng.

- Phần mềm chống virus phải được cài đặt và cập nhật: Thực hiện quét virus trên
cả thiết bị người dùng và máy chủ Internet thường xuyên.

- Không được vào các liên kết không an toàn và thông tin cá nhân để tránh bị lừa
đảo: Các liên kết giả mạo có thể được hiển thị dưới dạng quảng cáo, đặc biệt là trên
phương tiện truyền thông mạng xã hội. Hạn chế kết nối mạng không bảo mật như các địa
chỉ wifi miễn phí, địa chỉ wifi cộng đồng hoặc không xác định danh tính IP.

- Các ứng dụng ngân hàng, chỉ nên tải xuống thông qua kho ứng dụng chính thức
như từ Apple, Amazon, Google… vì nó đã được sàng lọc các lỗi bảo mật.
 - Số dư tài khoản nên được kiểm tra thường xuyên.

- Sử dụng mật khẩu một lần (OTP) và các tính năng sinh trắc học như nhận dạng
vân tay, giọng nói, mống mắt hoặc khuôn mặt: Hệ thống nhận dạng sinh trắc học được
phát triển cho các thiết bị di động đang được tích hợp và sử dụng trong các ứng dụng
Internet Banking, do đó, cùng với sự phát triển của công nghệ thông tin và điện tử truyền
thông, sẽ có nhiều tính năng bảo mật di động ra đời, ví dụ như công nghệ Lidar cho phép
quét vật thể đa chiều thay vì nhận dạng gương mặt hai chiều như hiện tại (có thể bị hack
bởi hình ảnh hoặc video của chủ tài khoản).

2.3. Doanh nghiệp thương mại điện tử

Giải pháp mà nhiều công ty lớn trên thế giới hiện áp dụng chính là hệ thống quản
lý bảo mật thông tin (ISMS). ISMS được đưa ra không chỉ là một giải pháp để thể hiện
chức năng của nó như một công cụ bảo mật thông tin với chu kỳ 4 bước (thiết kế, thực
hiện, giám sát và duy trì) mà còn góp phần làm thay đổi những ngộ nhận về việc bảo mật
thông tin hiện nay của doanh nghiệp. Một số doanh nghiệp Việt Nam hiện cũng đang áp
dụng giải pháp này như là một biện pháp nhằm tăng cường tính bảo mật của mình trong
thời kỳ hội nhập toàn cầu.

“ISMS không chỉ giới hạn trong vấn đề quản lý thông tin được xử lý bởi các phương tiện
điện tử mà còn có thể là thông tin ở các dạng khác như thông tin được viết trên giấy, lưu
trữ dạng tập tin điện tử, gửi đi bằng đường bưu điện, email hoặc được trao đổi bằng lời
nói. ISMS là một phần của hệ thống quản lý toàn diện trong doanh nghiệp, chủ yếu là
tiếp cận với rủi ro trong kinh doanh để thiết lập, thực thi, vận hành, giám sát, xem xét,
duy trì và cải thiện bảo mật thông tin.

Các bước triển khai ISMS

Sẽ có nhiều cách để thực hiện việc thiết lập và triển khai ISMS, hầu hết các tổ
chức sẽ dựa vào quy trình được nghiên cứu bởi tiêu chuẩn an ninh quốc tế ISO 27001.
Các bước triển khai minh hoạ như sau:

 Xác định phạm vi và mục tiêu: Loại tài sản nào cần được bảo vệ, xem xét về
mức độ của ưu tiên cũng như yêu cầu về bảo vệ của các bên liên quan.

 Xác định tài sản: Xác định tài sản cần được bảo vệ.
  Phát hiện rủi ro: Sau khi xác định loại tài sản cần được bảo vệ thì cần thực hiện
phân tích các yếu tố rủi ro để đưa ra đánh giá.

 Xác định các biện pháp giảm thiểu: Đưa ra các biện pháp giảm thiểu nhằm điều
trị hoàn toàn những rủi ro đã được xác định một cách hiệu quả.

 Kiểm tra hiệu quả: Theo sát và đánh giá liên tục để kiểm soát tốt hiệu quả của
biện pháp được áp dụng.

 Cải tiến: Thực hiện đánh giá về tính hiệu quả của biện pháp được áp dụng. Thực
hiện thay đổi hoặc đưa ra các cách tiếp cận khác để giảm thiểu rủi ro cho các
thông tin.

2.4. Bệnh viện và lĩnh vực y tế

Trong lĩnh vực y tế cũng như với hầu hết các ngành nghề rủi ro bảo mật là rất lớn.
Các giải pháp bảo mật thường có xuất phát điểm là xác định đối tượng quan trọng nhất
cần được bảo vệ và tìm ra cách bảo vệ tốt nhất. Trong trường hợp này là dữ liệu bệnh
nhân, nhưng dữ liệu đó không chỉ được lưu trong tủ tài liệu tại kho phía sau văn phòng,
mà hiện hữu ở khắp mọi nơi: trên máy tính xách tay, thiết bị di động, máy chủ, trong các
dịch vụ đám mây. Dữ liệu bị phân mảnh, dẫn đến khó xác định chắc chắn vị trí của dữ
liệu và ai có quyền truy cập.

Như vậy, cần có một cách tiếp cận thống nhất đối với dữ liệu chăm sóc sức khỏe.
Bất kể dữ liệu nằm ở đâu thì cần phải đảm bảo một mức độ kiểm soát kỹ thuật nhất định
đối với dữ liệu dựa trên đối tượng cần quyền truy cập. Ngoài ra, vì dữ liệu đó được
chuyển tiếp giữa các trung tâm dữ liệu truyền thống và đám mây, nên cần có khả năng
theo dõi vị trí và xác định liệu dữ liệu có quyền mà nó được chỉ định hay không.

Để giúp giải quyết các vấn đề trên, McAfee đã tập trung vào các vấn đề chuyên
sâu trong ngành y tế (và các ngành dọc khác) như:
 Hình 2: Các vấn đề mà McAfee tập trung nghiên cứu trong lĩnh vực y tế

McAfee có 3 hướng tiếp cận để giải quyết và giảm thiểu những lo ngại này:

- Phương pháp tiếp cận nền tảng: Quản lý và điều phối hợp nhất để đem lại trải
nghiệm người dùng nhất quán và thông tin chi tiết khác biệt, được cung cấp trên đám
mây. Trong đó, McAfee tập trung vào các Dịch vụ được Quản lý dựa trên Nền tảng.

- Giảm thiểu tác động của thiết bị: Chức năng bảo vệ, phát hiện và phản hồi
mạnh mẽ nhưng ít xâm lấn thông qua công nghệ toàn diện (full-stack), quản lý công cụ
gốc và cách ly trình duyệt như một dịch vụ. Điều này ngày càng trở nên quan trọng vì
môi trường chăm sóc sức khỏe điển hình ngày càng có nhiều thiết bị đầu cuối nhưng vẫn
bị hạn chế về tài nguyên như RAM và CPU.

- Bảo mật đám mây thống nhất: Việc thống nhất các công nghệ Trung tâm dữ
liệu mở rộng, cổng web tích hợp/SaaS, DLP và CASB mang lại một mạng lưới an toàn để
dữ liệu di chuyển lên đám mây, cũng như khả năng thực thi các biện pháp kiểm soát khi
dữ liệu chuyển từ tại chỗ lên các dịch vụ đám mây. Hơn nữa, việc hợp nhất DLP và
CASB sẽ dẫn đến ra đời một Chính sách cho cả hai mô hình, giúp công tác quản trị đơn
giản và nhất quán hơn. Xác định và thực thi chính sách một cách nhất quán là điều kiện
lý tưởng cho việc chăm sóc sức khỏe, trong đó quyền riêng tư về dữ liệu của bệnh nhân là
điều thiết yếu.
 2.5. Thực hiện đảm bảo an toàn khi truy cập website trên môi trường mạng

Khi thực hiện một giao dịch trực tuyến trên website bất kỳ, điều quan trọng mà
bạn cần phải lưu ý là website đó có an toàn hay không, độ bảo mật có cao không. Bạn có
thể dễ dàng nhận ra điều này sau 5 dấu hiệu dưới đây:

1. URL start with https: //

Đầu tiên, URL trên thanh địa chỉ của trình duyệt phải bắt đầu bằng https:// và icon
hình ổ khóa ở phía trước thanh địa chỉ (lưu ý ổ khóa phải xuất hiện trên thanh địa chỉ
trình duyệt chứ không phải trong nội dung website).

Dấu hiệu này chứng tỏ website đã được bảo vệ bởi “Secure Sockets Layer” (SSL),
một giao thức mã hóa đảm bảo thông tin được trao đổi một cách an toàn thông qua một
chứng chỉ số SSL được tin cậy.

Thanh địa chỉ có hiển thị tên công ty quản lý website và có màu xanh lá

Khi bạn truy cập vào website được trang bị chứng chỉ số Extended Validation
(EV) thì thanh trình duyệt hiển thị chính tên công ty đang quản lý và vận hành, đảm bảo
tính xác thực chặt chẽ. Bạn cũng sẽ không khó nhận ra khi thanh công cụ có màu xanh lá.
 Kiểm tra địa chỉ URL trên trình duyệt

Thoạt nhìn vào địa chỉ trên trình duyệt, bạn sẽ rất dễ nhìn lầm và tưởng đó là
website bạn cần. Có những trường hợp website được thêm một vài ký tự để đánh lừa
người dùng. Những website kiểu này hoàn toàn có thể đánh lừa các hang uy tín để mua
một chứng chỉ SSL giá rẻ, mức xác minh tên miền, vốn xử lý quy trình rất đơn giản và tự
động.

Để ý cụm từ https:// và biểu tượng ổ khóa trên thanh địa chỉ có màu đỏ
không?
 Khi truy cập vào một website sử dụng chứng chỉ số SSL đã hết hạn, chứng chỉ số
tự cấp phát hoặc được cấp phát bởi một hãng không đáng tin cậy, trình duyệt sẽ hiển thị
một cảnh báo bảo mật. Khi đó thanh địa chỉ trình duyệt sẽ chuyển sang màu đỏ, và cụm
từ https:// và biểu tượng ổ khóa sẽ bị đánh dấu chéo đỏ.

Trong trường hợp này, dữ liệu trao đổi tại website vẫn sẽ được mã hóa, tuy nhiên
bạn sẽ không thể biết liệu công ty hiển thị trên chứng chỉ số SSL có phải thật sự là công
ty sở hữu và vận hành website đó hay không.

2.6. Bật tính năng duyệt web an toàn nâng cao trên trình duyệt Chrome

Safe Browsing Enhanced là tính năng duyệt web an toàn nâng cao trên trình duyệt
Chrome, đây là công cụ tích hợp trong Chrome bao gồm danh sách các URL nguy hiểm
được Google tổng hợp và quản lý, giúp bảo vệ người dùng tránh khỏi các website độc
hại. Điều này cho phép đánh giá mối đe dọa chính xác và chủ động hơn. Để kích hoạt
tính năng này, người dùng thao tác cụ thể như sau:

Bước 1: Nhấn vào biểu tượng ba dấu chấm đặt dọc ở góc trên cùng bên phải của
giao diện Chrome, sau đó lựa chọn Cài đặt.
 Bước 2: Trong phần Cài đặt, người dùng chọn mục Quyền riêng tư và bảo mật, tại
cửa sổ này chọn Bảo mật.

Bước 3: Chọn Chế độ bảo vệ nâng cao để kích hoạt tính năng chủ động bảo vệ và
cảnh báo an toàn khi duyệt web của Google.
 Trong quá trình giao dịch trực tuyến trên một website bất kỳ thì điều quan trọng
người dùng cần lưu ý đó chính là độ tin cậy và bảo mật của website đó.

2.7. KIỂM TRA ĐỘ TIN CẬY CỦA WEBSITE BẰNG GOOGLE

TRANSPARENCY REPORT

Hiện nay Google đang cung cấp cho người dùng công cụ Google
Transparency Report để хáᴄ định mức độ an toàn của website và thông báo ᴄho người
dùng hoặᴄ ᴄáᴄ quản trị ᴠiên, nhằm nâng cao cảnh giác giúp tránh khỏi các mối nguу hại
tiềm ẩn. Google Transparency Report ѕẽ ᴄung ᴄấp ᴄáᴄ thông tin ᴄhi tiết ᴠề ᴄáᴄ mối đe
dọa (haу hiểm họa) mà Google đã phát hiện, ᴄũng như ᴄáᴄ ᴄảnh báo mà Google tìm thấy.
Từ đó, làm rõ tình trạng bảo mật ᴡebѕite mà người dùng muốn truy cập ᴠà khuуến nghị
ᴄáᴄ biện pháp bảo mật an toàn hơn. Công cụ này được tích hợp sử dụng Safe Browsing
API, vì vậy mà chất lượng của công cụ kiểm tra, quét thông tin website và các kết quả
đánh giá từ nó hoàn toàn đáng tin cậy với độ chính xác cao. Để rõ hơn cách thức sử dụng
tính năng này, người dùng thao tác theo các bước sau đây:

Bước 1: Người dùng truy cập vào đường dẫn sau:

https://transparencyreport.google.com/safe-browsing/ search?url=tenwebsite
 Bước 2: Nhập tên miền muốn kiểm tra tại ô Kiểm tra trạng thái trang web,
sau đó nhấn nút tìm kiếm. Nếu website an toàn Goolge sẽ đưa ra thông báo “Không tìm
thấy nội dung không an toàn nào”, ngược lại nếu là một địa chỉ không an toàn Google sẽ
đưa ra những cảnh báo cụ thể.

Ngoài Google Transparency Report thì thị trường hiện nay cũng đang có rất
nhiều công cụ hỗ trợ người dùng trong việc kiểm tra độ tin cậy của website như: Norton
Safe Web, URL Void, Norton Safe Web, VirusTotal… đây đều là những công cụ giúp bảo
vệ người dùng trước các mối đe dọa bảo mật dựa trên liên kết từ các phần mềm độc hại,
điển hình như ransomware, email giả mạo và các website cố gắng lừa đảo thông tin của
người dùng...
 Quản lý định danh và phân quyền truy cập (Identity and Access Management -
IAM) là một thuật ngữ chung bao gồm các sản phẩm, quy trình và chính sách được sử
dụng để quản lý định danh người dùng và điều chỉnh quyền truy cập của người dùng
trong một tổ chức

Hệ thống IAM được thiết kế để thực hiện ba nhiệm vụ chính : xác định, xác thực
và ủy quyền. Có nghĩa là, chỉ những người phù hợp mới có quyền truy cập vào máy tính,
phần cứng, ứng dụng phần mềm, bất kỳ tài nguyên CNTT nào hoặc thực hiện các tác vụ
cụ thể.

Một số thành phần IAM cốt lõi tạo nên khung IAM bao gồm:

 Cơ sở dữ liệu chứa danh tính của người dùng và đặc quyền truy cập

 Các công cụ IAM để tạo, giám sát, sửa đổi và xóa các đặc quyền truy cập

 Hệ thống kiểm tra lịch sử đăng nhập và truy cập