MrQuậy
Well-Known Member
-
24/09/2013
-
178
-
2.221 bài viết
Website thi tốt nghiệp THPT: gia tăng bảo mật
Website http://thisinh.thithptquocgia.edu.vn/ quản lý thi tốt nghiệp THPT quốc gia đã được đưa vào vận hành nhằm hỗ trợ thí sinh các thông tin liên quan đến kỳ thi và xét tuyển nguyện vọng.
Website có chức năng cho phép thí sinh quản lý thi từ khi đăng ký dự thi đến khi xem kết quả thi, xét công nhận tốt nghiệp trung học phổ thông, xét tuyển sinh đại học, cao đẳng.
Chính vì vậy, việc đảm bảo duy trì website hoạt động thông suốt, bảo mật là điều hết sức quan trọng vì chỉ cần một sự cố nhỏ cũng có thể ảnh hưởng đến hàng triệu thí sinh. Tuổi Trẻ từng nêu ý kiến chuyên gia an ninh mạng về những thách thức khi website chính thức đi vào hoạt động.
Chúng tôi tiếp tục trao đổi với đơn vị xây dựng và vận hành website - Trung tâm giải pháp CNTT - VT Viettel - nhằm cung cấp thông tin rộng rãi hơn cho bạn đọc.
Đảm bảo an toàn tuyệt đối?
Ông Dương Công Đức, phó giám đốc Trung tâm giải pháp CNTT - viễn thông Viettel, cho biết phần mềm được phân thành hai vùng truy cập (dành cho thí sinh và dành cho các cấp quản lý gồm các điểm tiếp nhận, cụm thi, sở, bộ) nhằm chia tải và tránh ảnh hưởng đến các vùng làm việc của nhau.
Với phân vùng thí sinh, hệ thống có thể đáp ứng lượng lớn thí sinh đăng nhập cùng lúc và sẵn sàng nâng cấp đáp ứng khi có dấu hiệu số lượng người dùng tăng cao.
Giao diện đăng nhập website thi trung học phổ thông quốc gia. - Ảnh: Đ. Thiện chụp màn hình
Hệ thống được thiết kế phân lớp riêng (lớp ứng dụng và lớp cơ sở dữ liệu), phân vùng riêng (vùng dành cho thí sinh và vùng dành cho các cấp quản lý), đảm bảo chia tải và an toàn an ninh hệ thống, khi một vùng gặp sự cố không ảnh hưởng đến vùng còn lại. Vùng dành cho thí sinh được thiết kế gồm nhiều máy chủ ảo, đảm bảo an toàn tuyệt đối. (!?)
Về kỹ thuật phục vụ vận hành, Viettel đã đầu tư bốn hệ thống tường lửa, bốn hệ thống cân bằng tải, bốn hệ thống chuyển mạch và 40 máy chủ vật lý cấu hình cao; phần mềm có giải pháp đảm bảo tính bảo mật tốt (sử dụng giải pháp mạng riêng ảo VPN để xác thực tài khoản).
Về công tác giám sát và hỗ trợ kỹ thuật, Viettel cho biết họ có sẵn mạng lưới hỗ trợ 24/7 với phạm vi rộng khắp cả nước, đảm bảo hệ thống ổn định thông suốt, phục vụ tất cả các đối tượng tham gia vào hệ thống.
Nên lường trước sự cố xảy ra
Theo các chuyên gia an ninh mạng, đây là website rất quan trọng nên việc có thể bị tấn công là điều tất yếu, thậm chí sẽ có cả các cuộc tấn công có chủ đích để thay đổi, sửa đổi thông tin, thông báo ...
Chuyên gia bảo mật Trần Quang Chiến, giám đốc Công ty VNIST Corp, đưa ra một số khả năng bảo mật website trên có thể gặp phải như: tin tặc tấn công khai thác lỗ hổng trong hệ thống để đánh cắp các thông tin cá nhân của thí sinh; tin tặc tấn công và thay đổi nội dung (sửa thông tin, sửa điểm, thay đổi các thông báo cho thí sinh...); đặc biệt, website có thể bị tấn công DDOS gây gián đoạn quá trình đăng ký, xem thông tin của thí sinh.
Vì vậy theo ông Chiến, nhà phát triển website cần có quá trình kiểm thử, đánh giá bảo mật trước khi đưa vào sử dụng, đồng thời thực hiện các cuộc diễn tập sự cố an ninh mạng để có các phương án khắc phục trong các trường hợp xấu.
Bên cạnh đó, hệ thống phải được đầu tư về hạ tầng (máy chủ, băng thông, mạng...) để chống lại các cuộc tấn công DDoS mức độ lớn; cần có các hệ thống giám sát an ninh mạng 24/7 để phát hiện sớm nhất các sự cố, các cuộc tấn công mạng; có các kênh thông tin hỗ trợ 24/7 cho thí sinh trong các trường hợp bị mất tài khoản...
Về phía người dùng, thí sinh cũng cần tự bảo vệ mình trước các website giả mạo (các website có giao diện và chức năng giống hệ website của Bộ GD-ĐT, các website này nhằm mục đích thu thập thông tin thí sinh), vì sẽ có nhiều thí sinh không có điều kiện tiếp cận nhiều với máy tính, Internet.
Báo tổng đài khi có sự cố
Trong quá trình sử dụng có thể có chuyện thí sinh bị lộ hoặc bị mất cắp thông tin đăng nhập, từ đó kẻ xấu có thể truy cập thay đổi các thông tin đăng ký của thí sinh hoặc có những hành vi phá hoại khác. Ông Đức đưa ra cách xử lý như sau:
- Theo quy chế quy định, thí sinh không thể tự sửa thông tin của chính mình mà chỉ được phép báo các mục sai sót cho điểm tiếp nhận để kiểm tra xử lý. Hoạt động này được thực hiện trong khoảng thời gian quy định của quy chế, nếu sau thời gian này thí sinh phải trực tiếp lên làm việc với điểm tiếp nhận hoặc sở GD-ĐT để điều chỉnh thông tin.
Nếu thí sinh bị mất thông tin đăng nhập, có thể báo đến tổng đài tiếp nhận của Viettel để tạm khóa tài khoản. Khi đó thông tin tài khoản sẽ không thể thay đổi. Sau đó thí sinh có thể tự lấy lại mật khẩu mới thông qua chức năng gửi email nhận lại mật khẩu trên hệ thống hoặc đến điểm tiếp nhận hồ sơ để được xử lý.
Theo Tuổi trẻ
Website có chức năng cho phép thí sinh quản lý thi từ khi đăng ký dự thi đến khi xem kết quả thi, xét công nhận tốt nghiệp trung học phổ thông, xét tuyển sinh đại học, cao đẳng.
Chính vì vậy, việc đảm bảo duy trì website hoạt động thông suốt, bảo mật là điều hết sức quan trọng vì chỉ cần một sự cố nhỏ cũng có thể ảnh hưởng đến hàng triệu thí sinh. Tuổi Trẻ từng nêu ý kiến chuyên gia an ninh mạng về những thách thức khi website chính thức đi vào hoạt động.
Chúng tôi tiếp tục trao đổi với đơn vị xây dựng và vận hành website - Trung tâm giải pháp CNTT - VT Viettel - nhằm cung cấp thông tin rộng rãi hơn cho bạn đọc.
Đảm bảo an toàn tuyệt đối?
Ông Dương Công Đức, phó giám đốc Trung tâm giải pháp CNTT - viễn thông Viettel, cho biết phần mềm được phân thành hai vùng truy cập (dành cho thí sinh và dành cho các cấp quản lý gồm các điểm tiếp nhận, cụm thi, sở, bộ) nhằm chia tải và tránh ảnh hưởng đến các vùng làm việc của nhau.
Với phân vùng thí sinh, hệ thống có thể đáp ứng lượng lớn thí sinh đăng nhập cùng lúc và sẵn sàng nâng cấp đáp ứng khi có dấu hiệu số lượng người dùng tăng cao.
Giao diện đăng nhập website thi trung học phổ thông quốc gia. - Ảnh: Đ. Thiện chụp màn hình
Hệ thống được thiết kế phân lớp riêng (lớp ứng dụng và lớp cơ sở dữ liệu), phân vùng riêng (vùng dành cho thí sinh và vùng dành cho các cấp quản lý), đảm bảo chia tải và an toàn an ninh hệ thống, khi một vùng gặp sự cố không ảnh hưởng đến vùng còn lại. Vùng dành cho thí sinh được thiết kế gồm nhiều máy chủ ảo, đảm bảo an toàn tuyệt đối. (!?)
Về kỹ thuật phục vụ vận hành, Viettel đã đầu tư bốn hệ thống tường lửa, bốn hệ thống cân bằng tải, bốn hệ thống chuyển mạch và 40 máy chủ vật lý cấu hình cao; phần mềm có giải pháp đảm bảo tính bảo mật tốt (sử dụng giải pháp mạng riêng ảo VPN để xác thực tài khoản).
Về công tác giám sát và hỗ trợ kỹ thuật, Viettel cho biết họ có sẵn mạng lưới hỗ trợ 24/7 với phạm vi rộng khắp cả nước, đảm bảo hệ thống ổn định thông suốt, phục vụ tất cả các đối tượng tham gia vào hệ thống.
Nên lường trước sự cố xảy ra
Theo các chuyên gia an ninh mạng, đây là website rất quan trọng nên việc có thể bị tấn công là điều tất yếu, thậm chí sẽ có cả các cuộc tấn công có chủ đích để thay đổi, sửa đổi thông tin, thông báo ...
Chuyên gia bảo mật Trần Quang Chiến, giám đốc Công ty VNIST Corp, đưa ra một số khả năng bảo mật website trên có thể gặp phải như: tin tặc tấn công khai thác lỗ hổng trong hệ thống để đánh cắp các thông tin cá nhân của thí sinh; tin tặc tấn công và thay đổi nội dung (sửa thông tin, sửa điểm, thay đổi các thông báo cho thí sinh...); đặc biệt, website có thể bị tấn công DDOS gây gián đoạn quá trình đăng ký, xem thông tin của thí sinh.
Vì vậy theo ông Chiến, nhà phát triển website cần có quá trình kiểm thử, đánh giá bảo mật trước khi đưa vào sử dụng, đồng thời thực hiện các cuộc diễn tập sự cố an ninh mạng để có các phương án khắc phục trong các trường hợp xấu.
Bên cạnh đó, hệ thống phải được đầu tư về hạ tầng (máy chủ, băng thông, mạng...) để chống lại các cuộc tấn công DDoS mức độ lớn; cần có các hệ thống giám sát an ninh mạng 24/7 để phát hiện sớm nhất các sự cố, các cuộc tấn công mạng; có các kênh thông tin hỗ trợ 24/7 cho thí sinh trong các trường hợp bị mất tài khoản...
Về phía người dùng, thí sinh cũng cần tự bảo vệ mình trước các website giả mạo (các website có giao diện và chức năng giống hệ website của Bộ GD-ĐT, các website này nhằm mục đích thu thập thông tin thí sinh), vì sẽ có nhiều thí sinh không có điều kiện tiếp cận nhiều với máy tính, Internet.
Báo tổng đài khi có sự cố
Trong quá trình sử dụng có thể có chuyện thí sinh bị lộ hoặc bị mất cắp thông tin đăng nhập, từ đó kẻ xấu có thể truy cập thay đổi các thông tin đăng ký của thí sinh hoặc có những hành vi phá hoại khác. Ông Đức đưa ra cách xử lý như sau:
- Theo quy chế quy định, thí sinh không thể tự sửa thông tin của chính mình mà chỉ được phép báo các mục sai sót cho điểm tiếp nhận để kiểm tra xử lý. Hoạt động này được thực hiện trong khoảng thời gian quy định của quy chế, nếu sau thời gian này thí sinh phải trực tiếp lên làm việc với điểm tiếp nhận hoặc sở GD-ĐT để điều chỉnh thông tin.
Nếu thí sinh bị mất thông tin đăng nhập, có thể báo đến tổng đài tiếp nhận của Viettel để tạm khóa tài khoản. Khi đó thông tin tài khoản sẽ không thể thay đổi. Sau đó thí sinh có thể tự lấy lại mật khẩu mới thông qua chức năng gửi email nhận lại mật khẩu trên hệ thống hoặc đến điểm tiếp nhận hồ sơ để được xử lý.
Theo Tuổi trẻ
Chỉnh sửa lần cuối bởi người điều hành:
