Một số biện pháp kỹ thuật cơ bản đảm bảo an toàn cho cổng/trang thông tin điện tử (Phần 1)

Các vấn đề để đảm bảo an toàn an ninh thông tin cho cổng/trang thông tin điện tử

Để đảm bảo an toàn thông tin cho cổng/trang TTĐT cần phải đảm bảo triển khai toàn bộ các thành phần của cổng/trang như sau:

Thứ nhất: Xác định cấu trúc web: Giúp người quản trị xác định được mô hình thiết kế web của đơn vị, qua đó có biện pháp tổ chức mô hình web hợp lý, tránh được các khả năng tấn công leo thang đặc quyền.

Một ứng dụng web khi triển khai, về cơ bản sẽ có 3 lớp như sau: Lớp trình diễn, lớp ứng dụng và lớp cơ sở dữ liệu.

Lớp trình diễn (Web Server) là nơi mà máy chủ cài đặt có tác dụng phục vụ các yêu cầu về Web hay nói cách khác, lớp trình diễn là máy chủ phục vụ web (có thể là: IIS Server, Apache HTTP Server, Apache Tocat Server,…).

Lớp ứng dụng (Web Application) là nơi các kịch bản hay mã nguồn phát triển ra ứng dụng web thực thi (có thể là: ASP.NET, PHP, JSP, Perl, Python,…).

Lớp cơ sở dữ liệu (Database Server) là nơi mà ứng dụng web lưu trữ và thao tác với dữ liệu (thường dựa trên nền các hệ quản trị cơ sở dữ liệu (CSDL) như: Oracle, SQL Server, MySQL,…).

Thứ hai: Triển khai hệ thống phòng thủ: Gồm hai nội dung chính là tổ chức mô hình mạng hợp lý và tổ chức các hệ thống phòng thủ, giúp người quản trị có cách nhìn tổng quan về toàn bộ mô hình mạng của cổng/trang TTĐT của mình, qua đó tổ chức mô hình mạng hợp lý cũng như thiết đặt các hệ thống phòng thủ quan trọng như tường lửa (firewall), thiết bị phát hiện/phòng, chống xâm nhập (IDS/IPS), tường lửa mức ứng dụng web (WAF – web application firewall).

Tổ chức mô hình mạng hợp lý: Việc tổ chức mô hình mạng hợp lý có ảnh hưởng lớn đến sự an toàn cho các cổng/trang TTĐT. Đây là cơ sở đầu tiên cho việc xây dựng các hệ thống phòng thủ và bảo vệ. Ngoài ra, việc tổ chức mô hình mạng hợp lý có thể hạn chế được các tấn công từ bên trong và bên ngoài một cách hiệu quả.

Trong một mô hình mạng hợp lý cần phải phân biệt rõ ràng giữa các vùng mạng theo chức năng và thiết lập các chính sách an toàn thông tin cho từng vùng mạng theo yêu cầu thực tế: Vùng mạng Internet (còn gọi là mạng ngoài); Vùng mạng DMZ (vùng đặt các máy chủ cung cấp dịch vụ trực tiếp ra mạng Internet như web server, mail server, FTP server,…); Vùng mạng Server Network hay Server Farm (vùng đặt các máy chủ không trực tiếp cung cấp dịch vụ cho mạng Internet); Vùng mạng Private Network (vùng đặt các thiết bị mạng, máy trạm và máy chủ thuộc mạng nội bộ của đơn vị)

Tổ chức các hệ thống phòng thủ:

+ Firewall (tường lửa: là thiết bị phần cứng hoặc phần mềm hoạt động trong môi trường máy tính nối mạng nhằm ngăn chặn những lưu lượng bị cấm bởi chính sách an ninh của một cá nhân hay một tổ chức, nhằm bảo vệ hệ thống khi bị tấn công, lọc các kết nối dựa trên chính sách truy cập nội dung, áp đặt các chính sách truy cập đối với người dùng hoặc nhóm người dùng, ghi lại nhật ký để hỗ trợ phát hiện xâm nhập và điều tra sự cố,…).

+ Thiết bị phát hiện/phòng, chống xâm nhập (IDS/IPS): Các thiết bị IDS có tính năng phát hiện dấu hiệu các xâm nhập trái phép, còn các thiết bị IPS có tính năng phát hiện và ngăn chặn việc xâm nhập trái phép của tin tặc vào hệ thống.

+ Tường lửa ứng dụng web (WAF): Một WAF thường là một phần mềm, hay một thành phần nhúng được cài ngay trên máy chủ phục vụ web. Đôi khi WAF cũng được cung cấp như một thiết bị phần cứng có cài đặt sẵn phần mềm bên trong. WAF hoạt động bằng cách sử dụng một bộ lọc với các “luật” được định nghĩa trước hoặc do người dùng thêm vào để giám sát các dữ liệu trao đổi với ứng dụng web thông qua giao thức HTTP. Những quy tắc này có thể giúp phát hiện và ngăn chặn các truy vấn nhằm tấn công vào các lỗi phổ biến như Cross-site Scripting (XSS), SQL Injection,…

Thứ ba: Thiết đặt và cấu hình hệ thống máy chủ an toàn: Đây là một phần rất quan trọng trong việc đảm bảo vận hành một cổng/trang TTĐT an toàn. Nội dung này giúp người quản trị cấu hình hệ thống máy chủ một cách hợp lý, giảm thiểu khả năng bị tin tặc tấn công vào máy chủ làm ảnh hưởng đến hoạt động của cổng/trang TTĐT.

Để vận hành một máy chủ an toàn, việc cần lưu ý đầu tiên là luôn cập nhật phiên bản và bản vá mới nhất cho hệ thống. Ngoài ra, với mỗi loại máy chủ khác nhau sẽ có những biện pháp thiết đặt và cấu hình cụ thể để đảm bảo vận hành an toàn, như:

Đối với máy chủ Linux:  Đối với hệ thống cài đặt mới thì phải đảm bảo một số yêu cầu cơ bản (khả năng hỗ trợ từ các bản phân phối; tối ưu hóa hệ điều hành về chính sách mật khẩu, tinh chỉnh các thông số mạng, cho phép hoặc không cho phép các dịch vụ truy cập đến hệ thống, gỡ bỏ các dịch vụ không cần thiết, điều khiển truy cập, sử dụng kết nối SSH an toàn, quản lý hệ thống ghi nhật ký một cách tập trung và nhất quán,…)

Đối với máy chủ Windows: Máy chủ Windows được sử dụng khá phổ biến, việc bảo vệ cho máy chủ Windows là thực sự cần thiết. Để đảm bảo cho hệ thống cần thực hiện một số biện pháp sau: Vô hiệu NetBIOS, SMB và các dịch vụ (HDCP, DNS, FTP, WINS, SMTP,… không cần thiết nếu không có nhu cầu sử dụng; chỉ mở cổng 80 hoặc cổng 443 nếu sử dụng ứng dụng web; gỡ các tài khoản trong máy chủ không sử dụng, vô hiệu hóa tài khoản Windows Guest, thiết lập mật khẩu mạnh cho các tài khoản; tập tin và thư mục phải nằm trên phân vùng định dạng NTFS; cập nhật các phiên bản vá lỗi,…).

Đối với máy chủ web: Nên sử dụng các giao thức mã hóa như SSL hoặc TLS để mã hóa các kết nối an toàn; thiết lập các thuộc tính trong Audit Policy trên máy chủ IIS; thiết lập chính sách cho các tài khoản nào bị hạn chế hoặc cấm truy cập tới máy chủ IIS; cái đặt thư mục gốc của ứng dụng web trên phân vùng đĩa có định dạng NTFS; cài đặt URLScan để bổ sung thêm nhiều tính năng bảo mật cho IIS; tối ưu hóa việc sử dụng các thành phần không cần thiết.

Như vậy, với ba nội dung nêu trên trong số tám nội dung chính của chủ đề “Một số biện pháp kỹ thuật cơ bản đảm bảo an toàn cho cổng/trang thông tin điện tử” người quản lý cổng/trang TTĐT đã xác định được nhiệm vụ cơ bản nhưng rất quan trọng trong việc triển khai hệ thống để đảm bảo an toàn an ninh thông tin cho cổng/trang thông tin điện tử.

Trong nội dung phần còn lại của chủ đề sẽ giúp cho người quản lý cách vận hành, thiết lập các ứng dụng bảo vệ, cơ chế sao lưu và phục hồi cũng như một số biện pháp kỹ thuật chống tấn công từ chối dịch vụ cho cổng/trang thông tin điện tử (còn nữa).

Hoàng Thắng