Những mối đe dọa bảo mật chính đối với website

Những mối đe dọa bảo mật chính:

Một website giống như một phần mềm thông thường, hoạt động trên hệ điều hành và các phần mềm máy chủ, sử dụng các giao diện lập trình của hệ điều hành và các tài nguyên phần mềm khác.

Những mối đe dọa bảo mật đối với website có thể phân thành 3 loại chính sau:

  • Xâm nhập trái phép vào môi trường thông tin
  • Xâm nhập trái phép vào hệ thống Bitrix Site Manager
  • Xâm nhập trái phép vào các ứng dụng web thứ 3.

 Sau khi bị tấn công, site của bạn có thể bị thay thế nội dung xấu, làm ảnh hưởng đến thể diện của doanh nghiệp:

 Đưa ra những điềm báo gở…

 

Đưa ra những hình ảnh vui…

 

Hay hình ảnh sex…

 

 Khái niệm môi trường thông tin  (Information  Environment):

 Cùng xem xét các ứng dụng tạo ra môi trường thông tin mà hệ thống Bitrix Site Manager tương tác trên đó:

Hệ điều hành: Các hệ dòng UNIX (Linux, FreeBSD, SunOS, HP-UX …) hoặc các hệ dòng Windows (Windows 2003 Server, Windows 2000 Server, Windows NT, Windows XP…).
Hệ điều hành có thể có nhiều phần mềm phần mềm máy chủ cài đặt.  Có thể nó không liên quan trực tiếp đến website hoặc hệ thống Bitrix Site Manager nhưng cũng cần phải quan tâm đến nó khi đăng kí các đối tượng để kiểm tra bảo mật. Thông thường, những ứng dụng này là: dịch vụ máy chủ Mail SMTP/POP3/IMAP; phần mềm DNS, FTP hoặc SSH; Telnet …

Máy chủ web (web server): là phần mềm máy chủ để chạy các ứng dụng web, xử lý các yêu cầu, truyền các hình ảnh và các trang HTML tới khách duyệt site. Hiện nay các máy chủ web được sử dụng rộng rãi là Apache, Microsoft IIS. Đôi khi có thể cài đặt bổ sung các phần mềm quản lý proxy SQUID, OOPS, Oracle Application Server Web Cache… Ở đây chúng ta sẽ xem xét các kiểu phần mềm liên quan với phần mềm máy chủ web, cũng như các ứng dụng để chạy các dịch vụ. Các module mã hóa thông tin hỗ trợ thuật toán SSL (OpenSSL…) cũng được coi là ứng dụng máy chủ web.

Môi trường phát triển: là ngôn ngữ lập trình PHP và các thư viện, dành để chạy các nghiệp vụ của Bitrix Site Manager và các phần mềm khách. Cần nhớ rằng PHP là một module của web server và việc tương tác với nó rất gần.  Tuy nhiên, chúng ta sẽ xem xét PHP riêng.

Cơ sở dữ liệu: là nơi lưu trữ thông tin và một hệ thống xử lý các câu lệnh truy vấn SQL. Thông thường, đó là hệ quản trị CSDL MySQL, Oracle 9i, Oracle  10g, MsSQL.

Bốn thành phần nói trên tạo ra môi trường thông tin cho phần mềm Bitrix Site Manager.

Các ứng dụng web thành phần thứ 3:

Hầu hết các ứng dụng web thành phần thứ 3 hoặc các scripts (mã hoạt cảnh) là không cần thiết phải cài đặt đối với các chức năng của web vì Bitrix Site Manager đảm bảo giải quyết hầu hết các tác nghiệp liên quan tới việc quản lý một tổ hợp website. Tuy nhiên, nếu site của bạn chứa các ứng dụng phát triển bởi các công ty khác hoặc được viết bằng các ngôn ngữ lập trình khác như Perl, ASP, .NET, JSP hoặc CGI thì bạn phải đăng kí và xem xét chúng khi tiến hành đánh giá mức độ bảo mật của hệ thống.

Rất thường xuyên các chương trình như CPanel, Plesk, các diễn đàn, các bộ phân tích thống kê web, bộ đếm được cài trên máy chủ web. Đôi khi những ứng dụng này không cần phải sử dụng sau khi cài Bitrix Site Manager, tuy nhiên các scripts này vẫn nằm trên máy chủ và có thể bị sử dụng làm phương tiện để tấn công website. Ở đây chúng tôi cũng coi các phần mềm này như là các ứng dụng web thành phần thứ 3. Bạn có thể tách riêng theo 3 mức độ đe dọa bảo mật :

  • Thấp: Việc truy cập tới các thông tin không bí mật bị cấm. Khả năng này có thể gây ảnh hưởng hoặc can thiệp vào các tác vụ của website.
  • Trung bình: Truy cập cục bộ tới các thông tin mật; Chuyển hướng cục bộ hệ thống xác thực để mở rộng quyền truy cập.
  • Cao: Toàn quyền truy cập hệ thống xác thực; truy cập không giới hạn đến hệ thống hoặc các ứng dụng; có khả năng chạy các ứng dụng không cần xác thực; xem và sửa chữa các thông tin mật.

Đảm bảo tính an toàn của môi trường thông tin:

Phần lớn các cuộc tấn công được thực hiện thông qua điểm yếu của môi trường thông tin, trên đó các máy chủ web chạy. Ví dụ nếu một máy chủ mail hoặc FTP không được cập nhật, một hacker có thể đạt được quyền quản trị (administrators) hệ điều hành cũng như các máy chủ web, có thể thực thi bất cứ tác vụ nào;

Có rất nhiều tài liệu nói về các lỗ hổng bảo mật của các phần mềm máy chủ. Người quản trị hệ thống của doanh nghiệp phải chịu trách nhiệm đối với sự an toàn của môi trường thông tin. Việc đảm bảo tính an toàn cho môi trường thông tin không hề đơn giản vì một máy chủ thường chạy rất nhiều phần mềm khác nhau.

Có một lớp các sản phẩm phần mềm có thể tự động kiểm tra môi trường thông tin trong khi vẫn tránh được các lỗi về cấu hình hệ thống hoặc tránh được việc ngưng trệ khi cập nhật các phần mềm máy chủ:

  • MaxPatrol của Positive Technologies
  • Internet Scanner 7.0 Internet Security Systems
  • LanGuard GFI
  • Nesus Renaud Deraison
  • NetRecon Symantec
  • Retina eEye Digital Security…

Công ty Bitrix hợp tác chặt chẽ với công ty Positive Technologies và khuyến khích sử dụng phần mềm MaxPatrol. Bạn có thể nhận được giảm giá 10% khi mua kèm MaxPatrol với Bitrix Site Manager.




1.jpg
3.jpg
2.jpg