Liên tục bị tấn công



Theo báo cáo của Cục Tin học Nghiệp vụ - Tổng cục Hậu cần (Bộ Công An) tại sự kiện Security World 2011, trong năm 2010 có hơn 1.000 website bị tấn công xuất phát từ các lỗ hổng bảo mật đang tồn tại trên website và các máy chủ hệ thống. Đặc biệt là các website của các tổ chức tài chính, ngân hàng, chứng khoán thì lại vẫn tồn tại nhiều lỗ hổng.



Thiếu quan tâm đến bảo mật website



Có thể nói, hiện nay vẫn chưa có nhiều DN quan tâm sâu sắc đến yếu tố bảo mật khi thiết lập website để quảng bá thương hiệu, kinh doanh dịch vụ… Chủ yếu, các DN quan tâm nhiều đến hình thức bên ngoài, giao diện dễ sử dụng, website vận hành tốt… Nếu có yêu cầu về bảo mật thì vẫn không có sự đồng bộ giữa đơn vị thiết kế website, dịch vụ đặt máy chủ, đội ngũ an ninh mạng…



Trung tâm An ninh mạng BKIS đã liên tục cảnh báo về lỗ hổng bảo mật của các trường đại học, ngân hàng, công ty chứng khoán… Những thông tin cảnh báo này cũng được BKIS gửi đến các tổ chức, doanh nghiệp và trường học. Tuy nhiên số DN trong nước hiện nay đầu tư về bảo mật khi thiết kế website không nhiều, chưa lưu ý đến mức độ chuyên nghiệp của đơn vị cung cấp dịch vụ hosting (nơi đặt máy chủ) và hệ điều hành máy chủ quản lý website.

Các website cung cấp dịch vụ trực tuyến đang trở thành mục tiêu hàng đầu của hacker.

Theo ông Võ Đỗ Thắng, Giám đốc Trung tâm Đào tạo Quản trị và An ninh mạng Athena: Trong trường hợp DN sử dụng dịch vụ máy chủ dùng chung (Share Hosting) mà nhà cung cấp dịch vụ không cấu hình bảo mật có thể xảy ra rủi ro. Các hacker có thể tấn công vào một website dùng chung dịch vụ hosting và sau đó từ đây tấn công vào website của DN khác. Việc sử dụng máy chủ được thuê riêng với hệ thống bảo mật sẽ đảm bảo an toàn cho website của các DN.

An toàn thông tin là trên hết



Theo ông Lê Văn Khoa, kỹ sư của Công ty HPT, chuyên trách bảo mật: Các doanh nghiệp cần định hướng về an toàn thông tin trước khi thiết lập website. Có thể nhờ đến đội ngũ tư vấn bảo mật của các công ty chuyên ngành để chọn hướng thiết kế website thích hợp (VD: chọn ngôn ngữ lập trình). Không nên chờ đến khi website có lỗ hổng bảo mật mới lo tìm giải pháp bảo vệ website.



Khi website đã bộc lộ nhiều lỗ hổng bảo mật, các doanh nghiệp cần nhờ đến dịch vụ đánh giá tình hình bảo mật; xem mức độ nghiêm trọng như thế nào. Sau đó, mới tính đến việc tìm cách vá lỗi bảo mật hoặc thiết kế lại website. Nếu lỗ hổng bảo mật xuất phát từ cơ sở dữ liệu thì nên thiết kế lại website.



Hiện nay, trên Internet cũng có một số công cụ được cung cấp miễn phí dùng để phát hiện lỗ hổng bảo mật trên các website. Tuy nhiên, theo các đơn vị cung cấp dịch vụ an ninh mạng thì việc sử dụng công cụ miễn phí phải được chọn lọc và người dùng phải thông thạo trong lĩnh vực bảo mật.



Cuối cùng, khi thiết kế website với các điều kiện bảo mật hoàn tất, DN cũng không thể quên chi phí duy trì website với hàng rào phòng thủ trước các cuộc tấn công mạng. Đội ngũ chuyên viên quản trị mạng – điều hành website phải có kiến thức về bảo mật hệ thống mạng, luôn đánh giá tình hình bảo mật website và cấu hình phân quyền chặt chẽ nhằm hạn chế rủi ro nếu website bị tấn công. Thường xuyên cập nhật thông tin về những bản vá lỗi của các hãng phần mềm, theo dõi chặt chẽ về quyền truy cập/mật khẩu… Thiết lập chế độ nhật ký mạng (ghi tập tin log) nhằm có cơ sở giải quyết sự cố mạng và điều tra các cuộc tấn công.