Bảo mật web theo tiêu chuẩn quốc tế

[Duyenta]

Những năm gần đây, các dịch vụ thương mại điện tử như thanh toán trực tuyến, giao dịch trực tuyến ebanking… phát triển không ngừng. Các tiện ích càng được phát triển, doanh nghiệp (DN) càng phải trang bị hạ tầng mạng chuyên nghiệp, có một hệ thống theo tiêu chuẩn quốc tế nhằm đáp ứng nhu cầu vận hành liên tục và bảo mật hệ thống.


Điều kiện bảo mật theo tiêu chuẩn quốc tế:
Một hệ thống mạng bảo mật luôn phải đảm bảo các mục tiêu như:
Cho phép hoặc cấm những dịch vụ truy cập ra ngoài;
Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong;
Theo dõi luồng dữ liệu mạng giữa Internet và Intranet (mạng nội bộ);
Kiểm soát và cấm địa chỉ truy nhập; Kiểm soát người sử dụng và việc truy cập của người sử dụng;
Kiểm soát nội dung thông tin lưu chuyển trên mạng.
Với những yêu cầu và mục tiêu do DN đặt ra, các nhà tích hợp hệ thống sẽ tư vấn và xây dựng một hệ thống mạng hoàn chỉnh:
+ Kết nối bên ngoài bao gồm các thiết bị định tuyến kết nối ADSL, Lease-line… cùng các thiết bị cân bằng tải.
+ Kết nối bảo mật: Các thiết bị tường lửa (Firewall), các hệ thống phòng chống tấn công IDS/IPS... và phần mềm giám sát hệ thống.
+ Hệ thống máy chủ: Các máy chủ (server) cài đặt hệ điều hành Windows, Linux… và các giải pháp phòng chống virus, chống thư rác (spam mail)...
+ Hệ thống lưu trữ: Các thiết bị lưu trữ dữ liệu tích hợp SAN (Storage Area Network)...


Đầu tư hệ thống bảo mật
Việc đầu tư một hệ thống bảo mật theo đúng tiêu chuẩn mà các nhà tích hợp hệ thống đem lại cho DN có thực sự hoàn hảo hay không? DN có thể tham khảo bảng đánh giá của các hãng bảo mật:
Chúng ta nhìn thấy một số vấn đề nổi bật về bảo mật thông tin như:
-Thứ nhất là các cuộc tấn công, xâm hại vào các hệ thống web site của DN diễn ra ngày càng liên tục và tinh vi hơn (25,48% cuộc tấn công chưa xác định nguồn gốc).
-Thứ hai là các hệ thống máy chủ được trang bị tất cả các giải pháp bảo mật tiên tiến vẫn chịu sự tấn công trực tiếp mà không ngăn chặn hoàn toàn được.
Một DN cần triển khai một ứng dụng TMĐT họ sẽ thực hiện các bước sau:
Xây dựng ứng dụng theo các nhu cầu kinh doanh và việc này sẽ do một nhóm phụ trách lập trình thiết kế và xây dựng;
Kế đến là trang bị hạ tầng mạng để triển khai ứng dụng này.
Các thiết bị bảo mật hiện nay như tường lửa (Firewall), IPS/IDS sẽ không thể giám sát, đánh giá được hết các ứng dụng được xây dựng trên nền tảng web (cụ thể ở đây là giao thức HTTP/HTTPS). Chỉ có các thiết bị bảo vệ ứng dụng web trước các cuộc tấn công - Web Application Firewall (WAF) chuyên dụng mới đáp ứng yêu cầu này.


Ứng dụng web phổ biến nhờ vào sự có mặt vào bất cứ nơi đâu của một chương trình. Khả năng cập nhật và bảo trì ứng dụng Web mà không phải phân phối và cài đặt phần mềm trên hàng ngàn máy tính là lý do chính cho sự phổ biến của nó. Nhiều tổ chức đã chuyển đổi các hệ thống thông tin và cơ sở dữ liệu vào các ứng dụng Web bằng cách sử dụng những công nghệ như ASP.NET, JSP, PHP và JavaScript.
Các Doanh Nghiệp Việt Nam vẫn chưa nắm được chính xác về những rủi ro đang tiềm ẩn trong ứng dụng web. Giao thức HTTP trở thành con đường đơn giản nhất để Hacker có thể đột nhập vào bên trong mạng lưới điện toán của công ty. Một số loại tấn công như SQL Injection hoặc Cross-Site Scripting là các loại thường xuyên được hacker sử dụng tấn công.


Một bức tường lửa chuyên dụng sẽ làm các nhiệm vụ như sau:
+ Thiết lập các chính sách cho các kết nối người dùng HTTP thông qua việc chọn lọc nội dung cho máy chủ dịch vụ web.
+ Bảo vệ hệ thống trước các loại hình tấn công phổ biến trên mạng như: Cross-site Scripting (XSS) và SQL Injection.
+ Ngoài việc những động tác kiểm tra của một bức tường lửa thông thường, WAF sẽ kiểm tra sâu hơn, sẽ
kiểm tra các nội dung HTTP ở lớp ứng dụng


An toàn thông tin đòi hỏi cá nhân, tổ chức và DN phải không ngừng nâng cao và phát triển liên tục. Các ứng dụng web tuy mang lại cho người dùng và DN nhiều tiện ích, nhưng cũng trở thành môi trường cho hacker “trục lợi”. Trước khi triển khai các ứng dụng để kinh doanh, các DN cần chú ý đến khâu bảo mật ứng dụng web theo tiêu chuẩn quốc tế

Nguồn: SecurityBox​