Bài viết sưu tầm

1. Các tính năng bảo mật IPv6

Địa chỉ được tạo mã hóa (Cryptographically Generated Address)
Trong IPv6, có thể tạo một khóa dùng làm chữ ký điện tử (public signature key) cho mỗi một địa chỉ IP. Địa chỉ này được gọi là địa chỉ được tạo mã hóa CGA (Cryptographically Generated Address). Tính năng này gia tăng mức độ bảo vệ được dùng trong cơ chế phát hiện bộ định tuyến lân cận (neighbourhood router discovery mechanism) cho phép người dùng cuối cung cấp bằng chứng sở hữu (proof of ownership) địa chỉ IP của mình. Tính năng này hoàn toàn mới ở phiên bản IPv6 và nó đem lại các lợi điểm sau:
+CGA khiến cho việc giả mạo (spoof) và đánh cắp địa chỉ trong IPv6 khó khăn hơn.
+Cho phép các thông điệp được đảm bảo tính nguyên vẹn bằng chữ ký điện tử.
+Không yêu cầu phải nâng cấp hay thay đổi hệ thống mạng
IP Security
IP Security (IPSec) cung cấp các dịch vụ mã hóa chất lượng cao, tương thích với nhiều hệ thống và hoạt động ở lớp IP (IP layer). IPSec là tùy chọn trong IPv4 nhưng là bắt buộc trong IPv6. IPsec tăng cường tính năng bảo mật cho lớp IP nguyên thủy bằng cách cung cấp tính năng xác thực (authenticity), tính nguyên vẹn (integrity), tính bí mật (confidentiality) và điều khiển truy nhập (access control) thông qua việc sử dụng hai giao thức AH (Authentication header) và ESP (Encapsulating Security Payload).
Thay thế ARP (Address Resolution Protocol) bằng ND (Neighbourhood Discovery)
Trong IPv4, địa chỉ layer 2 không được rằng buộc trực tiếp với địa chỉ layer 3. Kết nối giữa hai địa chỉ layer 2, layer 3 này phải thông qua một giao thức tên là ARP (Address Resolution Protocol). Giao thức này có nhiệm vụ ánh xạ địa chỉ layer 3 thành các địa chỉ layer 2 cục bộ tương ứng. ARP có nhiều vấn đề bảo mật trong quá khứ, như giả ARP (ARP spoofing) chẳng hạn. Trong IPv6, ARP không cần thiết nữa bởi vì phần xác định giao diện ID (Interface Identifier) của địa chỉ layer 3 của IPv6 được suy ra trực tiếp từ layer 2 của thiết bị (MAC address). Địa chỉ layer 3 cùng với phần ID đặc trưng của thiết bị được dùng ở phạm vi toàn cục (global level) trong mạng IPv6. Kết quả là các vấn đề bảo mật liên quan đến ARP đã được giải quyết trong IPv6. Giao thức ND được mô tả trong RFC 4861 (Neighbourhood Discovery) thay thế ARP trong IPv6.

2. Các thành phần bảo mật
2.1. IPSEC
2.1.1. Giới thiệu

IPSec là một từ viết tắt của thuật Internet Protocol Security, IPSec bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol. Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói Internet Protocol trong quá trình truyền thông tin. IPSec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực, được phát triển bởi Internet Engineering Task Force (IETF). Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI.
IPsec là một phần bắt bược của IPv6, có thể được lựa chọn khi sử dụng IPv4. Trong khi các chuẩn đã được thiết kết cho các phiên bản IP giống nhau, phổ biến hiện nay là áp dụng và triển khai trên nền tảng IPv4.
Các giao thức IPsec được định nghĩa từ RFCs 1825 – 1829, và được phổ biến năm 1995. Năm 1998, được nâng cấp với các phiên bản RFC 2401 – 2412, nó không tương thích với chuẩn 1825 – 1929. Trong tháng 12 năm 2005, thế hệ thứ 3 của chuẩn IPSec, RFC 4301 – 4309. Cũng không khác nhiều so với chuẩn RFC 2401 – 2412 nhưng thế hệ mới được cung cấp chuẩn IKE second. Trong thế hệ mới này IP security cũng được viết tắt lại là IPsec.
Sự khác nhau trong quy định viết tắt trong thế hệ được quy chuẩn bởi RFC 1825 – 1829 là ESP còn phiên bản mới là ESPbis.
Mọi giao tiếp trong một mạng trên cơ sở Internet Protocol đều dựa trên các giao thức Internet Protocol. Do đó, khi một cơ chế bảo mật cao được tích hợp với giao thức Internet Protocol thì toàn bộ mạng được bảo mật bởi vì các giao tiếp đều đi qua tầng 3.
Ngoài ra, với IPSec, tất cả các ứng dụng đang chạy ở tầng ứng dụng của mô hình OSI đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích. Bởi vì IPSec được tích hợp chặt chẽ với Internet Protocol, nên những ứng dụng có thể dùng các dịch vụ kế thừa tính năng bảo mật mà không cần phải có sự thay đổi lớn lao nào. Cũng giống Internet Protocol, IPSec trong suốt với người dùng cuối, là người mà không cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau một chuỗi các hoạt động.

2.1.3. Đặc tính
Các chức năng cơ bản của IPSec

•Chứng thực
+IPSec bảo vệ các mạng cá nhân và các dữ liệu cá nhân chứa trong đó khỏi tấn công man in the middle, từ khả năng lừa tấn công đến từ những truy cập vào mạng, khỏi những kẻ tấn công thay đổi nội dung của gói dữ liệu.
+IPSec sử dụng một chữ kí số để xác định nhân diện của người gởi thông tin. IPSec có thể dùng kerberos, preshared key, hay các chứng nhận số cho việc chứng nhận.
+Trong đó phương thức xác thực mặc định là Kerberos v5, tuy nhiên đối với các máy tính có kết nối mạng thì không nên dùng Kerberos v5 vì trong suốt quá trình dàn xếp ở chế độ chính , mỗi thành phần ngang cấp ở chế độ chính sẽ gởi phần nhận dạng máy tính của nó ở dạng chưa được mã hoá đến các thành phần khác. Phần nhận dạng máy tính này không được mã hoá cho đến khi sự mã hoá toàn bộ tải trọng diễn ra trong giai đoạn xác thực của sự dàn xếp với chế độ chính. Mộ kẻ tấn công có thể gởi một gói tin Internet Key Exchange (IKE) nhằm làm cho thành phần IPSec đáp ứng bị lộ thông tin nhận dạng máy tính. Để bảo vệ máy tính được kết nối Internet nên sử dụng sự xác thực chứng nhận. Đối với tính năng an toàn cải tiến, không nên sử dụng sự xác thực bằng PreshareKey vì nó là một phương thức khá yếu. Bên cạnh đó, PreshareKey được lưu trử ở dạng thuần văn bản. Sự xác thực bằng PresharedKey được cung cấp cho các mục đích liên vận hành và phải tuân thủ các quy tắc IPSec, chỉ nên dùng PreshareKey cho việc kiểm nghiệm.
•Toàn vẹn dữ liệu
+Toàn vẹn dữ liệu là đảm bảo gói dữ liệu còn nguyên vẹn trong quá trình lưu thông trên mạng, không bị mất hoặc bị thay đổi.
+IPSec dùng một thuật toán băm (MD5, SHA-1…) để đảm bảo dữ liệu không bị can thiệp vào. Một checksum được gọi là một mã chứng nhận tin nhắn hash được tính toán cho dữ liệu của gói. Một khi gói bị thay đổi trong khi truyền đi thì tin nhắn hash đã được thay đổi sẽ được lưu lại, thay đổi này sẽ bị xóa bởi máy tính nhận.
•Bảo mật dữ liệu
+IPSec sử dụng các thuật toán mã hóa (DES, 3DES…) để mã hóa dữ liệu, đảm bảo gói dữ liệu truyền đi sẽ không thể bị giải mã bởi những kẻ tấn công.
Các đặc tính
•Các chức năng chứng thực và bảo mật độc lập với nhau
+Các chức năng chứng thực và bảo mật độc lập với nhau. Việc này làm đơn giản hóa việc cài đặt và giảm ảnh hưởng thi hành của nó với hệ thống. Cho người dùng sử dụng có khả năng lựa chọn mức bảo vệ hay chứng thực thích hợp với giao dịch của họ.
+Điều này cũng cho phép các công nghệ mật mã mới có thể tích hợp vào IPSec mà không cần thay đổi kiến trúc cơ sở.
•Cài đặt ở tầng mạng cùng với thiết lập một chiều: Đưa chức năng bảo mật vào tầng mạng có nghĩa là mọi giao thức IP trên máy đều có thể hoạt động có bảo mật mà không cần sự can thiệp của từng người riêng biệt. Các giao thức dẫn đường cũng như TCP hay UDP đều có thể bảo mật.
•Liên kết của máy và cổng: IPSec hổ trợ hai dạng kết nối cơ bản: máy đến máy (host to host) và cổng tới cổng (gateway to gateway):
+Trong liên kết máy, các hệ thống gửi và nhận là hai hay nhiều máy chủ, chúng thiết lập kết nối an toàn để truyền giữa chúng.
+Trong liên kết cổng, các hệ thống nhận và gửi là các cổng an ninh, chúng thiết lập kết nối tới các hệ thống ngoài (không tin cậy) thay mặt cho những trạm tin cậy được kết thành những mạng con (tin cậy) bên trong.
+Ngoài ra còn có dạng kết nối máy tới mạng con. Trong trường hợp này, các cổng an ninh được thiết lập kết nối giữa các máy ở ngoài và các trạm tin cậy ở các mạng bên trong.
•Quản lý khóa: Khả năng quản lý và và phân phối hiệu quả khóa mã là vô cùng quang trọng đối với thành công của một hệ thống mật mã bất kỳ. Việc chuẩn hóa những chức năng này làm cho nó có thể sử dụng được và quản trị các chức năng bảo mật IP trải trên nhiều lĩnh vực và nhiều người bán.

2.1.2. Cấu trúc bảo mật của IPSEC

Sử dụng các giao thức cung cấp mật mã nhằm bảo mật gói tin trong quá trình truyền: IPsec được triển khai sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin trong quá trình truyền, phương thức xác thực và thiết lập các thông số mã hoá.
Cung cấp phương thức xác thực: Xây dựng IPsec sử dụng khái niệm về bảo mật trên nền tảng IP. Một sự kết hợp bảo mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như các khoá – keys) là nền tảng trong việc mã hoá và xác thực trong một chiều. Tuy nhiên trong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp. Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị IPsec bởi IPsec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá và xác thực cho mỗi gói tin IP.

Thiết lập các thông số mã hóa:
•Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho một gói tin đi ra ngoài, IPsec sử dụng các thông số Security Parameter Index (SPI), mỗi quá trình đánh thứ tự và lưu trong dữ liệu bao gồm Security Association Database (SADB), theo suốt chiều dài của địa chỉ đích trong header của gói tin, cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật (security association) cho mỗi gói tin. Một quá trình tương tự cũng được làm với gói tin đi vào, nơi IPsec thực hiện quá trình giải mã và kiểm tra các khoá từ SADB.
•Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, và thực hiện cho toàn bộ các receiver trong group đó. Có thể có hơn một thoả hiệp bảo mật cho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũng cho phép thực hiện nhiều mức độ bảo mật cho một group. Mỗi người gửi có thể có nhiều thoả hiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ biết được các keys được gửi đi trong dữ liêu. Chú ý các chuẩn không miêu tả làm thế nào để các thoả hiệp và lựa chọn việc nhân bản từ group tới các cá nhân.
3.1.4.Khả năng bảo mật

Chứng thực:
•Phương pháp IPSec xác thực thông tin người dùng là sử dụng một chữ kí số. IPSec sử dụng 1 trong 3 phương pháp : Kerberos, Preshared Key , hay CAs để xác minh thông tin người gởi.
•Trong một số trường hợp, IPSec chỉ cung cấp dịch vụ chứng thực mà không bảo mật. Ví dụ: dữ liệu là công khai (như từ website), nhưng có ai đó muốn chắc chắn rằng đã nhận được dữ liệu đúng; khi đã sử dụng mật mã mạnh ở những tầng dưới hoặc tầng trên…
•Mã hóa mà không có chứng thực rất nguy hiểm.

Toàn vẹn dữ liệu:
•Toàn vẹn dữ liệu là để đảm bảo dữ liệu được nguyên vẹn , không bị thay đổi hay bị mất trong quá trình truyền.
•IPSec sử dụng thuật toán hàm băm, băm dữ liệu trước khi truyền. Thuật toán sẽ tạo ra một key để người nhận dùng để kiểm tra dữ liệu nhận được có phải là dữ liệu ban đầu được gởi, nếu khác key thì nghĩa là dữ liệu đã bị thay đổi trong lúc truyền , máy tính nhận sẽ hủy gói dữ liệu này. Một thuật toán băm được dùng để đảm bảo dữ liệu không bị thay đổi khi nó đi qua network. Các thuật toán hash IPSec có thể dùng là:
+Message Digest (MD5): băm một chiều tạo ra mảng băm 128-bit dùng để kiểm tra tính toàn vẹn.
+Secure Hash Algorithm 1 (SHA-1): một key bí mật 160-bit tạo một message digest 160-bit cung cấp bảo mật hơn MD5.

Dữ liệu riêng tư:
•Để đảm bảo dữ liệu không bị lấy trộm trong quá trình truyền thì IPSec sử dụng một thuật toán mã hóa để mã hóa dữ liệu trước khi truyền. Thuật toán mã hóa bảo đảm dữ liệu bị lấy trộm sẽ không thể được giải mã, chỉ có người nhận mới có thể giải mã được gói dữ liệu này.
•IPSec đảm bảo tính tuyệt mật của dữ liệu bằng cách áp dụng các thuật toán mã hoá dữ liệu trước khi được gởi qua mạng. IPSec có thể dùng một trong những thuật toán mã hoá sau:
+Mã hoá dữ liệu chuẩn (DES): thuật toán mã hoá chuẩn dùng trong Windows Server 2003 sử dụng mã hoá 56-bit
+Triple DEC (3DES): dữ liệu được mã hóa với một key, giải mã với những key khác, và mã hoá lại với một key khác.
+DES 40-bit: thuật toán mã hoá ít an toàn nhất

Anti -replay :
•Anti-replay là giao thức bảo mật một chiều để thiết lập kết nối bảo mật giữa 2 nút trong mạng.
•Anti - replay là giao thức con của IPSec, mục đích chính là ngăn chặn kẻ tấn công tạo ra sự thay đổi trong gói tin bằng việc thêm vào các gói tin trong lúc truyền. Khi kết nối được thiết lập, nguồn gởi sẽ thêm vào mỗi gói tin đã được mã hóa 1 con số bắt đầu từ 0 và tăng lên sau mỗi lần gởi một gói tin mới. Ở nguồn nhận, khi nhận được gói dữ liệu, nó sẽ lưu lại số được đánh trên gói tin và kiểm tra số đó, nếu nhỏ hơn số được đánh trên gói tin trước thì sẽ đánh rớt gói tin, còn nếu lớn hơn thì tiếp tục nhận gói tin.
Chống chối bỏ :
• IPSec sử dụng một chữ kí điện tử để xác nhận thông tin nguồn gốc cúa tin nhắn.
• Ví dụ như là với dịch vụ chữ ký điện tử, các doanh nghiệp có thể tiến hành ký kết hợp đồng trực tuyến và có thể hoàn toàn an tâm về nghĩa vụ pháp lý của mỗi bên. Sau khi đã thống nhất về các điều khoản của hợp đồng, doanh nghiệp sẽ sử dụng chữ ký số để ký kết các hợp đồng điện tử. Tính pháp nhân của người sở hữu chữ ký điện tử này đã được Vsign xác thực và đảm bảo. Chữ ký điện tử có giá trị pháp lý như chữ ký bằng tay nên các người ký phải hoàn toàn chịu trách nhiệm trước pháp luật về các văn bản được ký bằng chữ ký điện tử của mình.
• Với dịch vụ xác thực chữ ký điện tử online, người sử dụng có thể truy cập vào hệ thống để xác minh danh tính của người ký điện tử. Sử dụng dịch vụ này, doanh nghiệp có thể hoàn toàn yên tâm về danh tính của người sở hữu chữ ký điện tử.
• Ngoài ra, doanh nghiệp có thể sử dụng chữ ký số để xây dựng một hệ thống công văn nội bộ có độ bảo mật cao. Với hệ thống công văn nội bộ trực tuyến, việc chuyển giao công văn sẽ được tiến hành thuận lợi, nhanh chóng.
• Người sử dụng có thể tích hợp chữ ký điện tử vào thư điện tử (email). Chữ ký điện tử sẽ tăng tình bảo mật của các email và các eamil này có thể là một bằng chứng không thể chối cãi trong các tranh chấp liên quan đến giao dịch điện tử.
Dynamic rekey: Key có thể được tạo ra trong quá trình truyền để bảo vệ các phân đoạn của giao tiếp với các key khác nhau.
Bộ lọc IP: Các khả năng lọc gói tin của IPSec được sử dụng để lọc ra và chặn các loại hình cụ thể của giao thông IP, dựa trên một trong các yếu tố hoặc kết hợp nhiều yếu tố sau :
• Địa chỉ IP.
• Các giao thức .
• Các cổng giao tiếp.

3. An toàn mạng
3.1. Các kiểu tấn công phổ biến
3.1.1. DoS

DoS (Denial of Services Attack) hay còn gọi là “Tấn Công Từ Chối Dịch Vụ” là một dạng tấn công mà người thực hiện có thể dùng để khiến cho một hệ thống không thể sử dụng được hoặc làm chậm hệ thống lại, khiến nó không thể phục vụ cho những người dùng truy cập vào dịch vụ của server.
Nguyên lý hoạt động cơ bản của nó là làm quá tải tài nguyên của hệ thống làm cho server không thể đáp ứng các yêu cầu từ các máy Client và Server sẽ nhanh chóng bị ngừng hoạt động hoặc reboot. Mục tiêu của DoS Attack không phải để chiếm quyền truy cập vào máy tính, dữ liệu hay kiểm soát 1 hệ thống mà là để ngăn cản những người dùng (User) sử dụng dịch vụ đó.
Kẻ tấn công có thể cố thực hiện những việc sau:
•Làm ngập lụt mạng, sẽ làm nghẽn việc lưu thông trong mạng.
•Làm gián đoạn kết nối giữa 2 máy tính,sẽ ngăn cản việc truy cập, sử dụng dịch vụ của server.
•Ngăn chặn 1 cá nhân nào đó truy cập, sử dụng dịch vụ của server.
•Làm gián đoạn việc cung cấp dịch vụ đến một hệ thống hay một user nào đó.

3.1.2. DDOS

Trên Internet tấn công Distributed Denial of Service là một dạng tấn công từ nhiều máy tính tới một đích, nó gây ra từ chối các yêu cầu hợp lệ của các user bình thường. Bằng cách tạo ra những gói tin cực nhiều đến một đích cụ thể, nó có thể gây tình trạng tương tự như hệ thống bị shutdown.
Nó được tấn công từ một hệ thống các máy tính cực lớn trên Internet, và thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng botnet.
Các dịch vụ tấn công được điều khiển từ những "primary victim" trong khi các máy tính bị chiếm quyền sử dụng trong mạng Bot được sử dụng để tấn công thường được gọi là "secondary victims".
Là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ nhiều địa chỉ IP trên Internet.
Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi Firewall. Nếu nó từ 30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn.
Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ chối dịch vụ DoS, và điều này càng nguy hiểm hơn khi chúng sử dụng một hệ thống mạng Bot trên internet thực hiện tấn công DoS và đó được gọi là tấn công DDoS.

3.1.3. Giả mạo DNS

Giả mạo DNS là một kỹ thuật MITM được sử dụng nhằm cung cấp thông tin DNS sai cho một host để khi người dùng duyệt đến một địa chỉ nào đó.
Giả mạo DNS: Có nhiều cách để có thể thực hiện vấn đề giả mạo DNS. Mỗi truy vấn DNS được gửi qua mạng đều có chứa một số nhận dạng duy nhất, mục đích của số nhận dạng này là để phân biệt các truy vấn và đáp trả chúng. Điều này có nghĩa rằng nếu một máy tính đang tấn công có thể chặn một truy vấn DNS nào đó được gửi đi từ một thiết bị cụ thể, thì tất cả những gì cần thực hiện là tạo một gói giả mạo có chứa số nhận dạng đó để gói dữ liệu đó được chấp nhận bởi mục tiêu.

3.1.4. Chiếm quyền điều khiển Session

Thuật ngữ chiếm quyền điều khiển session (session hacking) chứa đựng một loạt các tấn công khác nhau. Nhìn chung, các tấn công có liên quan đến sự khai thác session giữa các thiết bị đều được coi là chiếm quyền điều khiển session. Khi đề cập đến một session, chúng ta sẽ nói về kết nối giữa các thiết bị mà trong đó có trạng thái đàm thoại được thiết lập khi kết nối chính thức được tạo, kết nối này được duy trì và phải sử dụng một quá trình nào đó để ngắt nó.
Không có thứ gì khi đi qua mạng được an toàn, và dữ liệu session cũng không có gì khác biệt. Nguyên lý ẩn phía sau hầu hết các hình thức chiếm quyền điều khiển session là nếu có thể chặn phần nào đó dùng để thiết lập một session, khi đó bạn có thể sử dụng dữ liệu đó để thủ vai một trong số những thành phần có liên quan trong truyền thông và từ đó có thể truy cập các thông tin session.

3.1.5. SQL Injection

Việc thiết kế và đưa website vào hoạt động luôn đòi hỏi các nhà phát triển phải quan tâm đến vấn đề về an toàn, bảo mật nhằm giảm thiểu tối đa khả năng bị tin tặc tấn công. Thường các nhà phát triển tập trung vào các vấn đề an toàn của hệ điều hành, hệ quản trị CSDL, webserver... Chẳng hạn như hổng bảo mật trên IIS. Tuy nhiên, có một nguy cơ tiềm ẩn ít được quan tâm đó là các đoạn mã của ứng dụng. Một trong số đó là tấn công bằng SQL Injection.
SQL Injection là một kĩ thuật cho phép những kẻ tấn công thi hành các câu lệnh truy vấn SQL bất hợp pháp (người phát triển không lường trước được) bằng cách lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập từ các ứng dụng web. Hậu quả này rất tai hại vì nó cho phép kẻ tấn công có toàn quyền, hiệu chỉnh... trên cơ sở dữ liệu của ứng dụng. Lỗi này thường xảy ra trên các ứng dụng web có dữ liệu được quản lí bằng các hệ quản trị CSDL như SQL Server, Oracle, DB2, Sysbase.

3.1.6. Trojan – Virus – Worm

Trojan: Là một đoạn mã chương trình không có tính chất lây lan.Trojan dùng để đánh cắp thông tin quan trọng trên máy tính nạn nhân để gửi về cho Hacker hoặc xóa dữ liệu.
Backdoor: Loại Trojan khi được cài đặt vào máy nạn nhân sẽ tự mở ra một cổng dịch vụ cho phép hacker có thể kết nối từ xa và thực hiện lệnh mà hacker đưa ra.
Virus: chương trình có kích thước rất nhỏ tồn tại độc lập ,có khả năng tự thực thi và bám kí sinh vào các chương trình ứng dụng trên hệ thống.
Worms:Là loại chương trình có khả năng tự sao chép,lây lan từ máy tính này sang máy khác thông qua mạng và nó là sự kết hợp giữa sức phá hoại (Virus),âm thầm (Trojan) và sự lây lan.

3.2. Các yêu cầu bảo mật

Hiện nay có rất nhiều nguy cơ để khiến cho dữ liệu bị thất thoát. Tuy nhiên, cụ thể hóa có 4 nguy cơ chính:
•Từ những người không có kiến thức nhiều về mạng và hệ thống. Họ sử dụng công cụ được xây dựng sẵn và thử khai thác thông tin từ người khác.
•Từ những người có hiểu biết về mạng và hệ thống. Họ tự xây dựng chương trình và các công cụ, sử dụng các công cụ này đi khai thác thông tin của người khác.
•Từ những người bên trong mạng nội bộ công ty để rò rỉ thông tin ra ngoài.
•Từ mạng Internet, hacker xâm nhập vào trong mạng nội bộ của doanh nghiệp và lấy cắp thông tin.

(ST: VNPRO)