Ngày nay công nghệ thông tin ngày càng phát triển, đặc biệt là mạng Internet đang đem đến sự bùng nổ thông tin một cách mạnh mẽ. Qua mạng Internet, con người có thể lưu trữ, xử lý, tìm kiếm thông tin trên mọi lĩnh vực: từ việc trò chuyện với bạn bè cách xa hàng chục cây số đến việc tìm kiếm, lưu trữ, cập nhật các thông tin mới nhất về mọi lĩnh vực khoa học công nghệ trên thế giới. Con người cũng có thể thực hiện việc mua bán các sản phẩm hay đặt các dịch vụ ngay tại nhà chỉ thông qua các thao tác đơn giản trên bàn phím máy tính.
Một trong những yếu tố góp phần làm cho mạng Internet phát triển như vậy là sự ra đời của World Wide Web (WWW). Và ngày nay, mọi giao tiếp qua Website đã trở thành phổ biến. Ta có thể gọi một số lớn các website là “website truyền thống”.
Trên cơ sở nắm vững những mặt hạn chế của website, công nghệ Portal – Cổng điện tử phát triển đã giải quyết một số những vấn đề mà “website truyền thống” gặp phải.
Thông qua tìm hiểu về Cổng giao tiếp điện tử Hà Nội, với đặc thù gồm nhiều ứng dụng phức tạp truy xuất tới nhiều loại tài nguyên khác nhau và thực hiện giao tiếp với các hệ thống khác thông qua hệ thống mạng của toàn thành phố, được thực hiện theo mô hình đa tầng với sự tách bạch tương đối rõ ràng giữa các tầng Trình diễn, Nghiệp vụ và tầng Dữ liệu.
Tuy nhiên do các ứng dụng tại Cổng giao tiếp điện tử Hà Nội được phát triển trong một thời gian dài với những yêu cầu khác biệt khá lớn về mặt nghiệp vụ và được thiết kế một cách độc lập nhau nên các ứng dụng xuất hiện trước và sau chưa có một mô hình kiến trúc chung thống nhất, và vì vậy nên việc bảo mật hệ thống không thật sự dễ dàng.
Đồ án tốt nghiệp này sẽ trình bày về “Nghiên cứu kiểm soát các “lỗ hổng an ninh” trên cổng điện tử”.
24 trang |
Chia sẻ: nhungnt | Lượt xem: 2158 | Lượt tải: 5
Bạn đang xem trước 20 trang tài liệu Đồ án Nghiên cứu kiểm soát các lỗ hổng an ninh trên cổng điện tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
MỤC LỤC
MỤC LỤC ………………………………………………………………………….2
LỜI NÓI ĐẦU ………………………...……..………………………………….....4
Chương I: TỔNG QUAN VỂ CỒNG ĐIỆN TỬ ….……..……..……………….. ..5
Khái niệm .………………….…………………………..…...…………………5
Lịch sử phát triển………….…………………………..…...…………………..5
Phân loại ……………..….…………………………...………………………..6
Thuộc tính ……………..……….……………………………………………..6
Kiến trúc của cổng điện tử ..……….…………………………………………..6
Kiến trúc tổng quan ……...…………………………………………………..6
Giải thích mô hình ………..……………………………………..………..…7
1.5.2.1. Tầng trình diễn ..…………...……………………………………………....7
1.5.2.2. Tầng ứng dụng ……………..…………………………………………..….7
1.5.2.3. Tầng cơ sở dữ liệu ….……………..……………………………...………..8
1.6. Mô hình phát triển cổng điện tử …………………………………….………... 8
1.6.1. Chuẩn Ichannel…………………………………………………….………... 8
1.6.2. Chuẩn JSR 168…………………………………………………...…………. 8
Chương II: THỰC TRẠNG AN NINH TRÊN CỔNG ĐIỆN TỬ ………..……......9
Thực trạng an ninh trên Internet ……………………………………...……....9
Một số mối đe dọa an ninh trên mạng Internet ………………………...……10
Lấy trộm thông tin ……………………………………………………..…..10
Chiến tranh thông tin…………………………………………………….....10
Khủng bố trên không gian điều khiển………………………………………11
Yêu cầu bảo mật thông tin trên Internet…………………...………………...12
Một số vấn đề liên quan đến thực trạng an ninh trên “cổng điện tử” .….……12
Hạn chế thông tin……………………………………………...……………12
Cấp quyền………………………………………………………...………...13
“Lưu vết” trên mạng…………………………………..…………...………13
Tăng cường “tính vô danh” trên mạng………………………………..……13
Mã hóa……………………….………………………………………..……14
Chữ ký điện tử………………………………………………….……..……14
Chương III: MỘT SỐ BIỆN PHÁP KIỂM SOÁT LỖ HỔNG AN NINH TRÊN CỔNG ĐIỆN TỬ ..…………………….……………………………………….....15
Đối với mật khẩu…………………….………………...……………………..15
Đối với E-mail……………………….……………..……...…………………15
Đối với máy khách (Client)…………….…………..……..…………………16
Chứng chỉ số……………………….………………..…………...…………16
Thẻ thông minh…………….………………………….……………………17
Nhận dạng bằng sinh trắc học…………….…………..……………………18
Đối với máy chủ (Server)…………………..……………..…………………19
Sử dụng Trusted Solaris ………………….…………..…..…………………21
Chống Virus…………….……………..…………………..…………………22
3.7. Bảo mật nội dung thông tin ……………………….………………………….23
3.8. Chữ ký điện tử ……………………………………………………………......23
KẾT LUẬN………………………..…………….………………..………………24
TÀI LIỆU THAM KHẢO…………………………………………...……………25
LỜI NÓI ĐẦU
Ngày nay công nghệ thông tin ngày càng phát triển, đặc biệt là mạng Internet đang đem đến sự bùng nổ thông tin một cách mạnh mẽ. Qua mạng Internet, con người có thể lưu trữ, xử lý, tìm kiếm thông tin trên mọi lĩnh vực: từ việc trò chuyện với bạn bè cách xa hàng chục cây số đến việc tìm kiếm, lưu trữ, cập nhật các thông tin mới nhất về mọi lĩnh vực khoa học công nghệ trên thế giới. Con người cũng có thể thực hiện việc mua bán các sản phẩm hay đặt các dịch vụ ngay tại nhà chỉ thông qua các thao tác đơn giản trên bàn phím máy tính.
Một trong những yếu tố góp phần làm cho mạng Internet phát triển như vậy là sự ra đời của World Wide Web (WWW). Và ngày nay, mọi giao tiếp qua Website đã trở thành phổ biến. Ta có thể gọi một số lớn các website là “website truyền thống”.
Trên cơ sở nắm vững những mặt hạn chế của website, công nghệ Portal – Cổng điện tử phát triển đã giải quyết một số những vấn đề mà “website truyền thống” gặp phải.
Thông qua tìm hiểu về Cổng giao tiếp điện tử Hà Nội, với đặc thù gồm nhiều ứng dụng phức tạp truy xuất tới nhiều loại tài nguyên khác nhau và thực hiện giao tiếp với các hệ thống khác thông qua hệ thống mạng của toàn thành phố, được thực hiện theo mô hình đa tầng với sự tách bạch tương đối rõ ràng giữa các tầng Trình diễn, Nghiệp vụ và tầng Dữ liệu.
Tuy nhiên do các ứng dụng tại Cổng giao tiếp điện tử Hà Nội được phát triển trong một thời gian dài với những yêu cầu khác biệt khá lớn về mặt nghiệp vụ và được thiết kế một cách độc lập nhau nên các ứng dụng xuất hiện trước và sau chưa có một mô hình kiến trúc chung thống nhất, và vì vậy nên việc bảo mật hệ thống không thật sự dễ dàng.
Đồ án tốt nghiệp này sẽ trình bày về “Nghiên cứu kiểm soát các “lỗ hổng an ninh” trên cổng điện tử”.
Trong quá trình làm đồ án tốt nghiệp, em đã nhận được sự hướng dẫn tận tình của TS. Trần Minh và ThS. Nguyễn Hoài Thu. Em xin chân thành cảm ơn! Đồng thời, em xin cảm ơn các thày cô giáo bộ môn Tin học – trường Đại học Dân lập Hải Phòng đã trang bị cho em những kiến thức cơ bản trong quá trình học tập tại trường.
Sau đây là nội dung của đồ án tốt nghiệp:
Chương I:
TỔNG QUAN VỀ CỔNG ĐIỆN TỬ
Khái niệm
Cổng điện tử có thể định nghĩa một cách chung nhất như sau: Cổng điện tử là một phần mềm ứng dụng, cung cấp một giao diện mang tính cá nhân hóa cho người sử dụng. Thông qua giao diện này, người sử dụng có thể khám phá, tìm kiếm, giao tiếp với các ứng dụng, với các thông tin, và với những người khác.
Lịch sử phát triển
Công nghệ Portal (Cổng điện tử) phát triển sau thời kỳ này khoảng 7 – 8 năm như là một tất yếu để giải quyết những vấn đề mà website truyền thống gặp phải.
Portal là “siêu website”,đối với người dùng vẫn chỉ là sử dụng trang web thông qua trình duyệt, nhưng đằng sau nó là sự thay đổi thuật ngữ, quan niệm về triết lý phục vụ thay cho cách hiểu “tuyên truyền” qua website như trước đây.
Là điểm đích quy tụ hầu hết các thông tin, dịch vụ người dùng cần. Chúng được phân loại nhằm thuận tiện cho tìm kiếm và hạn chế vùi lấp các thông tin.
Bảo toàn đầu tư lâu dài. Có nền tảng công nghệ đảm bảo, do cổng Internet đã phát triển rất cao so với thời kỳ xuất hiện World Wide Web. Những công nghệ tạo nên thời đại portal đều hỗ trợ tính mở và kế thừa rất mạnh.
Môi trường chủ động dùng cho việc tích hợp ứng dụng.
Xu hướng “tiến hóa” chung của website theo hướng tiến đến portal được trình bày trong hình vẽ:
Phân loại
Vertical portal: thuật ngữ này được sử dụng để chỉ những cổng điện tử mà nội dung thông tin cũng các dịch vụ của nó được thiết kế để phục vụ cho một lĩnh vực xác định, cho một chuyên ngành xác định, do vậy khách hàng của nó là diện hẹp.
Horizontal portal: chỉ những cổng điện tử mà nội dung thông tin cũng các dịch vụ của nó bao trùm nhiều chủ đề, nhiều lĩnh vực, do vậy nó mang tính diện rộng.
Information portal: xây dựng hệ thống cung cấp thông tin trên cơ sở thu gom số liệu từ nhiều nguồn khác nhau. Các nguồn dữ liệu này nằm rải rác trên mạng toàn cầu Internet, từ các cơ sở dữ liệu của các mạng nội bộ Intranet, và thậm chí cả từ các cổng điện tử khác.
Community portal: xây dựng “một vị trí ảo” trên Internet cho các cá nhân, doanh nghiệp “tụ tập” để giúp đỡ lẫn nhau và hợp tác với nhau trong cùng một mục đích xác định. Nó mang lại cơ hội cộng tác cho các cá nhân, tổ chức doanh nghiệp mà ranh giới địa lý không có ý nghĩa ở đây.
Corporate portal (hay Enterprise portal): thường được dùng bởi các nhân viên trong một cơ quan, tổ chức để chia sẻ thông tin, cộng tác với nhau để cùng giải quyết một công việc, qua đó nâng cao năng suất, hiệu quả công việc của mình.
Commercial portal: cung cấp “chợ điện tử” trong thị trường thương mại điện tử.
Goverment portal: Cung cấp các “cổng hành chính công điện tử” để chính quyền (Trung ương và địa phương) thực hiện các chức năng của mình đối với dân chúng thông qua việc cung cấp thông tin và các dịch vụ hành chính công.
Thuộc tính
Cá nhân hóa giao diện của người sử dụng (Personalization).
Tổ chức phân loại thông tin (Categorize).
Hỗ trợ khả năng tìm kiếm nhanh thông tin (Search).
Thông tin được tích hợp, liên kết từ nhiều nguồn khác nhau (Integration).
Hỗ trợ mô hình làm việc cộng tác (Collaboration).
Hỗ trợ mô hình tự động xử lý công việc theo qui trình đã xác định từ trước (Workflow).
Khả năng bảo mật cao, hỗ trợ đăng nhập hệ thống một lần duy nhất (Single Sign–On).
Kiến trúc của cổng điện tử
Kiến trúc tổng quan
Giải thích mô hình
Mô hình kiến trúc của cổng điện tử được xây dựng theo mô hình web ba tầng (Web Application 3–tier): tầng trình diễn, tầng ứng dụng và tầng cơ sở dữ liệu.
1.5.2.1. Tầng trình diễn
Tầng này chịu trách nhiệm về cung cấp giao diện cho nhiều loại người khác nhau, lấy các yêu cầu, dữ liệu từ người dùng, có thể định dạng nó theo ngôn ngữ đơn giản và gọi các thành phần thích hợp từ phần ứng dụng để xử lý các yêu cầu. Kết quả sau khi xử lý được trả lại cho người dùng.
1.5.2.2. Tầng ứng dụng
Là môi trường họat động và là nơi chứa các ứng dụng của cổng điện tử. Là đầu mối tiếp nhận và xử lý đầu cuối, phân tích, tiền xử lý yêu cầu và chuyển yêu cầu đã xử lý cho phần ứng dụng tương ứng xử lý. Tầng này gồm có ba thành phần chính: Dịch vụ phục vụ trình diễn, Phần ứng dụng,Kiến trúc hạ tầng.
1.5.2.3. Tầng cơ sở dữ liệu
Bao gồm các hệ thống cơ sở dữ liệu lưu trữ dữ liệu chính của cổng điện tử, cơ sở dữ liệu chuyên ngành và cơ sở dữ liệu tích hợp sẵn sàng phục vụ cho các hoạt động truy cập, xử lý, kết xuất và trình diễn thông tin ở các tầng trên. Bao gồm: Cơ sở dữ liệu Portal, Cơ sở dữ liệu ứng dụng, Cơ sở dữ liệu tích hợp.
Các mô hình phát triển cổng điện tử
1.6.1. Chuẩn Ichannel
IChannel là một chuẩn phát triển kênh ứng dụng dựa trên mô hình kiến trúc MVC, và áp dụng công nghệ XML/XSLT trong trình diễn và chuyển đổi dữ liệu. IChannel được dùng trong framework uPortal để phát triển các kênh ứng dụng.
uPortal là một dự án được bắt đầu và phát triển bởi JA-SIG. Mục đích chính của uPortal là đưa ra một bộ khung (framework) cho phép tích hợp các thông tin, ứng dụng vào trong một giao diện web nhằm tạo ra một cổng truy nhập duy nhất đáp ứng yêu cầu sử dụng của một cộng đồng người dùng muốn chia sẻ, trao đổi các thông tin trực tuyến trên Internet.
Công nghệ Java (J2EE) là công nghệ cho phép xây dựng các phần mềm chạy được trên nhiều nền hệ thống khác nhau:Windows, Linux, Unix,… Do đó uPortal cũng là một hệ thống chạy được trên nhiều hệ điều hành khác nhau. Nó có thể chạy với nhiều web server và kết nối và động độc lập không phụ thuộc vào loại cơ sở dữ liệu nhờ vào một lớp chuyên đảm nhận kết nối cơ sở dữ liệu.
1.6.2. Chuẩn JSR 168
JSR 168 – viết đầy đủ là Java Specification Request 168. Đây là chuẩn được phê chuẩn tháng 10/2003, phát triển bởi Java Community Process nhằm hoàn tất các thao tác giữa các bộ phận của cổng điện tử và Portlet – một thành phần web có khả năng gắn nối được quản lý bởi một portlet container, cung cấp một cách linh động nội dung như là một phần của sự kết hợp giao diện người dùng, giúp đơn giản hóa việc phát triển các ứng dụng portlet và cho phép các nhà phát triển tạo các thành phần ứng dụng có khả năng “cắm và chạy” trên bất kỳ nền tảng hệ thống cổng điện tử J2EE nào.
JSR 168 cung cấp một cái nhìn khái quát về các khái niệm portlet cần thiết, kiến trúc portlet, và phát triển các tiến trình, bao gồm cả sự tương thích và triển khai (deployment).
Hiện nay JSR 168 là chuẩn thông dụng nhất và được hầu hết các hãng lớn (IBM, Sun, Oracle, …) thống nhất sử dụng.
Chương II:
THỰC TRẠNG AN NINH TRÊN CỔNG ĐIỆN TỬ
Thực trạng an ninh trên Internet
Mạng Internet là môi trường có vô số các vụ tấn công. Nhìn chung có thể chia các mối đe dọa an ninh đó thành 4 loại:
Mất dữ liệu tích hợp: dữ liệu bị sửa chữa, thay thế khi truyền trên mạng.
Mất dữ liệu bảo mật: những người không có quyền cũng có thể đọc được dữ liệu.
Từ chối dịch vụ: dịch vụ bị ngưng trệ bởi sự tấn công của Hacker.
Mất khả năng điều khiển: những người có quyền sử dụng dịch vụ không thể tương tác được với dịch vụ.
Người sử dụng thường cố gắng tìm ra những lỗ hổng của phần mềm hoặc là cấu hình lại hệ thống nhằm bảo đảm an toàn thông tin. Trong một số trường hợp Hacker không muốn cho truy suất hệ thống bằng cách xây dựng một loạt các thủ tục nhằm mục đích đưa ra thông báo “từ chối dịch vụ”. Việc tấn công vào mạng sử dụng thông báo từ chối truy cập được thực hiện bằng cách khiến cho phần mềm dịch vụ bị quá tải bởi phải xử lý quá nhiều yêu cầu. Khi đó hệ thống sẽ trở nên rất bận và sẽ thiếu thời gian để làm việc khác do đó buộc phải từ chối truy cập dịch vụ.
Tuy có nhiều cách để xâm nhập vào mạng nhưng một trong những cách dễ dàng nhất là chặn dòng dữ liệu trao đổi giữa các thành viên trong mạng. Do thông tin được truyền trong mạng dưới dạng văn bản thuần tuý nên việc rình bắt thông tin sẽ giúp cho Hacker lấy được mật khẩu của mạng một cách dễ dàng.
Còn kiểu tiến công mạng nữa hay được sử dụng là giả dạng bằng cách giả vờ là một người sử dụng có thẩm quyền của mạng thông qua việc giả lập địa chỉ IP. Điều đáng nói ở đây là trong hầu hết các trường hợp, việc bảo đảm độ tin cậy chỉ dựa trên một phía (qua password, hoặc PIN) mà những thông tin này lại rất dễ bị sao chép. Do vậy để đảm bảo độ tin cậy, việc thiết lập độ tin cậy phải được thực hiện từ hai phía bằng việc sử dụng một thẻ thông minh (smart card) kết hợp với PIN (Personal Identity Number) nhằm tăng mức độ an toàn của mạng.
Một cách khác là tạo ra những phần mềm thông minh để truy xuất đến một mạng đích nào đó thông qua việc lấy các thông tin thải loại ở trong sọt rác hoặc trong đĩa mềm bỏ đi của người quản trị mạng. Kiểu này chỉ được áp dụng khi mà Hacker liên quan khá mật thiết đến người điều hành mạng và do đó cũng rất dễ truy tìm ra Hacker khi mạng bị tấn công.
Còn một cách để Hacker xâm nhập vào mạng là sử dụng một tập hợp các thông tin dễ ghi nhớ. Rất nhiều mạng sử dụng tên miền rất dễ nhớ như: System01.Domain.Org. Bằng việc truy xuất qua server quản lý hệ tên miền (DNS: Domain Name System), Hacker có thể thâm nhập vào mạng rất dễ dàng bằng cách hướng yêu cầu của người sử dụng đến một server khác và lấy trộm những thông tin cần thiết. Do đó để đảm bảo rằng người sử dụng truy xuất đúng server cần phải bổ xung cả việc kiểm tra độ tin cậy đối với server. Điều này được thực hiện bằng cách sử dụng chứng chỉ số trên server.
Để tránh việc gói tin bị thay thế khi truyền trên mạng, bắt buộc gói tin phải được tích hợp trước khi truyền thông qua việc bổ xung một thông điệp băm. Việc mã hoá của thông điệp này giúp cho thông điệp bảo đảm được độ chính xác.
Trong hầu hết các trường hợp những cuộc tiến công vào mạng thành công không phải do kỹ thuật mà do con người. Thay cho sử dụng kỹ thuật để đột phá vào mạng, Hacker sẽ thử liên hệ với người nắm giữ thông tin mà họ cần,điều khiển họ thông qua việc khai thác những thói quen của họ và như thế những người này sẽ không thông báo về những thông tin bị giò gỉ bởi chính họ cho cấp có thẩm quyền.
Một số mối đe dọa an ninh trên mạng Internet
Lấy trộm thông tin
Nhiều người cho rằng không ai quan tâm đến những thông tin cá nhân của mình. Nhưng việc thu thập thông tin riêng tư vẫn xảy ra. Và thường thì việc thu thập thông tin này diễn ra khéo léo đến mức các nhà quản trị hệ thống không nhận ra để kịp thời thiết lập các biện pháp bảo vệ cần thiết.
Có nhiều chương trình dùng để đoán mật khẩu đăng nhập mạng. Các chương trình này cho phép đoán từ của nhiều ngôn ngữ nhờ vào từ điển tổng hợp các thứ tiếng. Chúng thực hiện mã hoá các từ trong từ điển, so sánh các mật khẩu cho đến khi tìm được từ đúng. Các chương trình này còn được gọi là “phần mềm bẻ khoá”.
Chiến tranh thông tin
Hiện nay chiến tranh thông tin vẫn chưa xuất hiện nhưng các chính phủ vẫn đang xây dựng cơ chế bảo mật dữ liệu đề phòng trường hợp bị tấn công. Cũng như phát triển các công cụ để thực hiện chiến tranh thông tin. Các “chiến binh thông tin” cố gắng lấy phá huỷ hệ thống lưu trữ, xử lý… của kẻ thù trong khi thực hiện bảo vệ dữ liệu trên mạng của mình.
Chiến tranh thông tin có ba mức độ: cá nhân, tập đoàn và toàn cầu. Ở ba mức độ này, phương pháp tiến hành nói chung giống nhau là cố gắng xâm nhập để lấy các thông tin của mỗi người, mỗi công ty, mỗi quốc gia,… Các thông tin bị lấy trộm thường được lưu trữ trên nhiều cơ sở dữ liệu khác nhau của đối phương gồm các thông tin về tài chính, y tế, khoa học công nghệ,… Để phân biệt ba kiểu chiến tranh này người ta căn cứ vào mức độ phá hoại của chúng.
Có rất nhiều vũ khí có thể sử dụng trong chiến tranh thông tin. Ví dụ như:
BOM: phá hủy phần điện tử của máy tính thông qua các vụ nổ hạt nhân hoặc không hạt nhân.
Chipping: thay thế chip chuẩn.
Human Engineering: giả mạo thông tin qua điện thoại, Fax, E-mail, …
Jamming: để ngăn chặn liên lạc của kẻ địch bằng cách tạo tiếng ồn điện tử.
Nano machines: robot nhỏ có thể tiến công phần cứng của kẻ địch.
Spoofing: thư điện tử giả mạo các bó TCP/IP có thể xuyên qua tường lửa và các hệ thống bảo mật khác.
Trap Door: cơ chế cho phép tiến công xâm nhập hệ thống mà không cần chú ý đến loại xác lập bảo mật.
Trojan Horse: đoạn mã chương trình co thể chứa bên trong các chương trình và thực hiện các lệnh không mong muốn.
Worm: một chương trình độc lập có khả năng tự sao chép chính mình từ máy tính này sang máy tính khác.
Do việc truyền thông và trao đổi dữ liệu điện tử ngày càng được sử dụng nhiều nên việc phá hoại thông tin liên lạc có thể gây nên những hầu quả nghiêm trọng hơn so với các hậu quả xảy ra trong các cuộc chiến tranh thông thường.
Khủng bố trên không gian điều khiển
Khủng bố điều khiển đe doạ mọi người sử dụng nối vào Internet, những kẻ khủng bố sử dụng những phương thức ép buộc khác nhau để đạt những mục tiêu về chính trị hoặc kinh tế. Chúng sử dụng hiểu biết về máy tính để đe doạ người khác.
Những kẻ “khủng bố điều khiển” có khả năng phá hoại những công việc kinh doanh của nhiều tập đoàn lớn nếu như những nơi này không có những biện pháp để ngăn chặn những hành động khiêu khích của những kẻ phá hoại. Những ngân hàng kết nối cơ sở dữ liệu của mình với mạng Internet cũng có khả năng bị tấn công khi thực hiện các giao dịch điện tử ở trên mạng. Khi mà ta hạn chế truy cập nhờ tường lửa và chỉ cho một số ít những người sử dụng đặc biệt có quyền sử dụng truy xuất dữ liệu thì cũng là lúc làm giảm khả năng bảo mật.
Những kẻ khủng bố sử dụng nhiều cách để tiến công các trụ sở đầu não của nhiều tổ chức tuỳ vào mỗi cơ quan đầu não mà chúng sử dụng một phương pháp tấn công riêng như: tấn công bằng virus, đánh tráo thông tin, làm gián đoạn liên lạc, tiêu diệt từ xa hay làm thất lạc thông tin.
Để bảo vệ chống các tổ chức khủng bố tấn công qua Internet, cần phải :
Đặt mật khẩu: không có hệ thống máy tính nào lại có mật khẩu mà có thể đoán được hay tìm thấy trong từ điển. Nguyên tắc đặt mật khẩu phải được kiểm tra xem có vi phạm không?
Network: thay đổi cấu hình mạng ngay sau khi tổn thương và cần kiểm tra mạng theo những nguyên tắc nhất định.
Giải quyết tạm thời: giao cho các cán bộ bảo mật nhiệm vụ mô tả danh sách các thư mật quan trọng, thông báo cho mọi người về sự giò gỉ bí mật mới nhất.
Kiểm tra: tất cả các hệ thống cần được kiểm tra theo các nguyên tắc nội bộ và các tệp log cần được phân tích theo các nguyên tắc cơ sở.
Yêu cầu bảo mật thông tin trên Internet
Ngày nay có rất nhiều kỹ thuật phục vụ cho việc bảo mật hệ thống. Vấn đề quan trọng của Internet là nhận dạng người sử dụng vì trên Internet thì mọi người đều giống nhau, dẫn đến khả năng rằng việc giả dạng người khác rất dễ dàng. Như vậy việc bảo vệ thông tin trên Internet là rất quan trọng nhưng rất khó thực hiện.
Mọi tổ chức và cá nhân muốn bảo mật thông tin đều mong muốn:
Độ tin cậy: rất cần thiết cho việc kiểm tra ai là người có quyền đọc thông tin và chuyển thông tin cho người khác.
Tích hợp: là để đảm bảo mọi dữ liệu chỉ có thể bị thay đổi do những người có đủ thẩm quyền và dữ liệu không bị thay thế trong quá trình truyền trên mạng.
Sẵn có: bảo đảm người dùng có thể truy suất liên tục các nguồn lực mạng.
Không nhầm lẫn bảo đảm nguồn lực của mạng không bị chia sẻ cho những người không đủ thẩm quyền truy cập.
Một số vấn đề liên quan đến thực trạng an ninh trên “cổng điện tử”
Hạn chế thông tin
Đây là một chiến lược lớn, được áp dụng ở rất nhiều nơi. Bằng việc hạn chế thông tin các nhà quản trị hy vọng rằng không ai phát hiện được điểm yếu của họ để mà khai thác chúng.
Các phần mềm trên “cổng điện tử” đều sử dụng thuật toán sẵn có nên Hacker có thể tìm ra cách làm việc của các thuật toán hoặc sử dụng các phần mềm trung gian để x
Các file đính kèm theo tài liệu này:
- 1.2. tom tat (6 ban).doc
- Linh_Security.ppt