Thực tế hiện nay ở nước ta chưa có nhiều DN quan tâm sâu sắc đến yếu tố bảo mật khi thiết lập website để quảng bá thương hiệu, kinh doanh dịch vụ… Chủ yếu, các DN quan tâm nhiều đến hình thức bên ngoài, giao diện dễ sử dụng, website vận hành tốt… Nhưng  số liệu thống kê gần đây của Cục Tin học Nghiệp vụ - Tổng cục Hậu cần (Bộ Công An) đã đặt ra yêu cầu bức thiết về bảo mật đối với các website. Vậy để tránh sự tấn công của hacker, các website cần được bảo mật như thế nào?

1. Những con số gây hoang mang

Theo báo cáo của Cục Tin học Nghiệp vụ - Tổng cục Hậu cần (Bộ Công An) tại sự kiện Security World 2011, trong năm 2010 có hơn 1.000 website bị tấn công xuất phát từ các lỗ hổng bảo mật đang tồn tại trên website và các máy chủ hệ thống. Đặc biệt là các website của các tổ chức tài chính, ngân hàng, chứng khoán thì lại vẫn tồn tại nhiều lỗ hổng.

Theo số liệu khảo sát trong năm 2010 của Chi hội An toàn thông tin (VNISA) phía Nam, trong 3 tháng đầu năm 2010 đã có hơn 300 website có tên miền “.vn” bị hacker nước ngoài tấn công và thăm dò. Các website này chủ yếu thuộc sở hữu của các đơn vị cung cấp dịch vụ thanh toán trực tuyến, ngân hàng… Trong số website bị tấn công này chỉ có 33% doanh nghiệp (DN) phát hiện cuộc tấn công; 29% DN không biết rõ hệ thống mạng có bị tấn công hay không.

Các website sử dụng tên miền .vn cũng bị đánh giá có nhiều nguy cơ bị tấn công hơn so với các tên miền khác. Các website cung cấp dịch vụ trực tuyến đang trở thành mục tiêu hàng đầu của hacker. Sau khi chiếm quyền điều khiển website, tội phạm mạng sẽ bắt đầu cài đặt mã độc vào máy tính người dùng dịch vụ.

Theo một số chuyên gia về bảo mật, lỗ hổng bảo mật thường gặp ở các website hiện nay là SQL Injection. Đây là một kỹ thuật tấn công website khá phổ biến được áp dụng trên những máy chủ không được cấu hình tốt, không có hệ thống lọc áp dụng cho những đoạn văn bản gửi đến từ những ứng dụng trực tuyến (web application), hoặc có thiếu sót về lập trình web. 

Các hacker có thể tận dụng lỗi này để chiếm quyền điều khiển, xoá dữ liệu trên website, chèn vào đó các đường link dẫn đến những trang web của chúng… Hiện thời, các phần mềm web server đã có phân hệ phòng chống lỗi SQL Injection và các chuyên viên quản trị mạng cần kích hoạt tính năng này.

2. Giải pháp nào cho an toàn thông tin

Nhìn vào những con số trên, có thể thấy rằng một yêu cầu bức thiết là các doanh nghiệp cần định hướng an toàn thông tin với website của mình. Để làm được điều đó, Công ty chuyên về dịch vụ thiết kế website LMT  Việt Nam xin gợi ý các giải pháp: 

- Khi thiết kế website, doanh nghiệp hãy tìm đến đội ngũ tư vấn bảo mật của các công ty chuyên ngành để chọn hướng thiết kế website thích hợp (VD: chọn ngôn ngữ lập trình). Không nên chờ đến khi website có lỗ hổng bảo mật mới lo tìm giải pháp bảo vệ website.

- Khi website đã bộc lộ nhiều lỗ hổng bảo mật, doanh nghiệp cần nhờ đến dịch vụ đánh giá tình hình bảo mật; xem mức độ nghiêm trọng như thế nào. Sau đó, mới tính đến việc tìm cách vá lỗi bảo mật hoặc thiết kế lại website. Nếu lỗ hổng bảo mật xuất phát từ cơ sở dữ liệu thì nên thiết kế lại website.

- Cuối cùng, khi thiết kế website với các điều kiện bảo mật hoàn tất, DN cũng không thể quên việc duy trì website với hàng rào phòng thủ trước các cuộc tấn công mạng. Đội ngũ chuyên viên quản trị mạng – điều hành website phải có kiến thức về bảo mật hệ thống mạng, luôn đánh giá tình hình bảo mật website và cấu hình phân quyền chặt chẽ nhằm hạn chế rủi ro nếu website bị tấn công. Thường xuyên cập nhật thông tin về những bản vá lỗi của các hãng phần mềm, theo dõi chặt chẽ về quyền truy cập/mật khẩu… để có cơ sở giải quyết sự cố mạng và điều tra các cuộc tấn công.

Nếu có bất kỳ thắc mắc nào về vấn đề bảo mật thông tin khi thiết kế và duy trì website, hãy liên lạc ngay với LMT, chúng tôi sẽ tư vấn miễn phí cho bạn.