• Thứ Tư, 07/02/2007 15:29 (GMT+7)

    An toàn cho website

    Sau một loạt website của các tổ chức, doanh nghiệp (DN) bị xâm nhập (hack), câu hỏi làm thế nào để website được an toàn luôn được các DN quan tâm. Nhằm cung cấp cho bạn đọc một số thông tin về vấn đề này, tạp chí Thế Giới Vi Tính - PC World B đã phỏng vấn ông Hoàng Nguyễn Ngọc Văn, trưởng phòng Phát Triển Web của FPT HCM.

    Sau một loạt website của các tổ chức, doanh nghiệp (DN) bị xâm nhập (hack), câu hỏi làm thế nào để website được an toàn luôn được các DN quan tâm. Nhằm cung cấp cho bạn đọc một số thông tin về vấn đề này, tạp chí Thế Giới Vi Tính - PC World B đã phỏng vấn ông Hoàng Nguyễn Ngọc Văn, trưởng phòng Phát Triển Web của FPT HCM.

    Thưa ông, hiện các website của DN đặt hosting bên ngoài luôn lo ngại bị tấn công, FPT có quan điểm gì về vấn đề này?

    Mối đe dọa website bị tấn công phần lớn phụ thuộc vào yếu tố bảo mật trong mã nguồn của website. Do đó, với một website không được chú trọng vấn đề bảo mật khi phát triển thì dù đặt hosting ở bất kỳ nơi nào cũng có cùng một mức độ đe dọa ngang nhau.

    Đa số các lỗi bảo mật web mà hacker lợi dụng thường là SQL injection, XSS (Xem thêm phần “Bảo vệ từ mã nguồn web”). Các lỗi này có thể được khắc phục triệt để?

    SQL Injection và XSS là những lỗi cơ bản nhất thường gặp phải ở những lập trình viên chưa có kinh nghiệm. Việc xử lý các lỗi này thật ra không khó, chủ yếu qua thói quen lập trình. Một khi đã hình thành thói quen thì sẽ hạn chế rất nhiều nguy cơ sơ hở trong mã web.

    Và trách nhiệm bảo mật thuộc về nhà phát triển?

    Đối với các dạng bị tấn công qua khai thác lỗ hổng của website thì trách nhiệm thuộc về nhà phát triển web. Tuy nhiên, có một điều đáng nói là một website được bảo mật tốt không có nghĩa là tuyệt đối. Do đó, bản thân người sở hữu website cũng đóng vai trò quan trọng trong việc đảm bảo an toàn cho website. Chẳng hạn, chủ động thuê dịch vụ hosting có chế độ backup tốt, được hỗ trợ kỹ thuật nhanh chóng, đặc biệt trong những trường hợp khẩn cấp....

    Trường hợp DN tự phát triển, bổ sung chức năng mới dựa vào một khung, chẳng hạn do FPT phát triển thì sao?

    Đối với DN muốn tự phát triển website cho mình thì bắt buộc phải quan tâm đến vấn đề bảo mật. Nếu chưa thật an tâm với đội ngũ phát triển riêng của mình, DN có thể tự thuê đơn vị cung cấp dịch vụ bảo mật để rà soát và phát hiện các lổ hỗng sau khi website được hoàn thành hoặc có sự nâng cấp hay điều chỉnh.

    Vậy, để có một website an toàn, DN phải đầu tư như thế nào?

    Để có một website đảm bảo an toàn, DN cần chú trọng các vấn đề sau:

    - Chọn nhà phát triển có đủ uy tín và kinh nghiệm.

    - Sử dụng dịch vụ hosting của nhà cung cấp có khả năng đảm bảo các yêu cầu về backup và khôi phục dữ liệu, cũng như hỗ trợ kỹ thuật kịp thời.

    - Có thể thuê đơn vị cung cấp dịch vụ bảo mật như là một hình thức "bảo hiểm" cho website của mình.

     

    BẢO VỆ TỪ MÃ NGUỒN WEB

     
     

    Theo báo cáo tình hình bảo mật của BKIS 8/2006, rất nhiều website của Chính Phủ, bộ, ngành, DN, tổ chức bị mắc lỗi xử lý CSDL (SQL Injection). Từ lỗ hổng này các tin tặc dễ dàng làm chủ các website nói trên.
    Nguyên nhân dẫn tới lỗi SQL Injection là do lập trình viên không xử lý các ký tự đặc biệt từ phía người dùng có thể gửi tới máy chủ web thông qua trình duyệt . Đối với DN mới bắt đầu xây dựng website, khả năng chống được SQL Injection là một việc đương nhiên của nhà phát triển.
    Các chuyên gia bảo mật thường nói, để một hệ thống có thể chống trả trước hacker thì nó phải được "tấn công" liên tục. Khái niệm “tấn công” ở đây muốn đề cập đến khả năng phát hiện lỗi trong hệ thống đó, phải liên tục phát hiện và kiện toàn ở những điểm yếu có khả năng bị đánh phá...
    Một website muốn đứng vững trước những đợt khai thác lỗ hổng trên phần mềm thì nhà quản trị buộc phải liên tục giám sát hoạt động vào ra trên máy chủ. bản vá lỗi mới nhất của các hệ điều hành, phần mềm webserver, đồng thời kiểm tra lại các biện pháp bảo mật từ hạ tầng mạng cho đến những mã lệnh ứng dụng có thể tránh được sự xâm nhập của hacker hay không.
    Hiện nay đa phần các DN trong nước đặt hosting ở các nhà cung cấp dịch vụ Internet (ISP) và dịch vụ họ cung cấp chỉ mang tính hỗ trợ quản trị cho máy chủ web như cập nhật vá lỗi, tường lửa… và những dịch vụ này không đủ sức đứng vững trước những đợt tấn công có kế hoạch của hacker.
    Có 2 cách để DN có thể bảo mật cho website của mình trong tình huống này: hoặc là chính DN đó kết hợp với ISP hoặc thuê một đơn vị thứ 3 thực hiện dịch vụ. Tùy thuộc vào mức độ quan trọng của website DN mà dịch vụ có nhiều hình thức khác nhau, đơn giản có thể khảo sát điểm yếu của hệ thống, hoặc có thể hợp đồng theo thời gian để họ vừa bảo vệ, thử nghiệm tấn công và khắc phục lỗi bảo mật cho website của DN.

     

    Phạm Hải thực hiện

    ID: B0702_55