Website thi tốt nghiệp THPT: gia tăng bảo mật

Website có chức năng cho phép thí sinh quản lý thi từ khi đăng ký dự thi đến khi xem kết quả thi, xét công nhận tốt nghiệp trung học phổ thông, xét tuyển sinh đại học, cao đẳng.

Chính vì vậy, việc đảm bảo duy trì website hoạt động thông suốt, bảo mật là điều hết sức quan trọng vì chỉ cần một sự cố nhỏ cũng có thể ảnh hưởng đến hàng triệu thí sinh. Tuổi Trẻ từng nêu ý kiến chuyên gia an ninh mạng về những thách thức khi website chính thức đi vào hoạt động.

Chúng tôi tiếp tục trao đổi với đơn vị xây dựng và vận hành website - Trung tâm giải pháp CNTT - VT Viettel - nhằm cung cấp thông tin rộng rãi hơn cho bạn đọc.

Đảm bảo an toàn tuyệt đối?

Ông Dương Công Đức, phó giám đốc Trung tâm giải pháp CNTT - viễn thông Viettel, cho biết phần mềm được phân thành hai vùng truy cập (dành cho thí sinh và dành cho các cấp quản lý gồm các điểm tiếp nhận, cụm thi, sở, bộ) nhằm chia tải và tránh ảnh hưởng đến các vùng làm việc của nhau.

Với phân vùng thí sinh, hệ thống có thể đáp ứng lượng lớn thí sinh đăng nhập cùng lúc và sẵn sàng nâng cấp đáp ứng khi có dấu hiệu số lượng người dùng tăng cao.

Giao diện đăng nhập website thi trung học phổ thông quốc gia. - Ảnh: Đ. Thiện chụp màn hình

Hệ thống được thiết kế phân lớp riêng (lớp ứng dụng và lớp cơ sở dữ liệu), phân vùng riêng (vùng dành cho thí sinh và vùng dành cho các cấp quản lý), đảm bảo chia tải và an toàn an ninh hệ thống, khi một vùng gặp sự cố không ảnh hưởng đến vùng còn lại. Vùng dành cho thí sinh được thiết kế gồm nhiều máy chủ ảo, đảm bảo an toàn tuyệt đối. (!?)

Về kỹ thuật phục vụ vận hành, Viettel đã đầu tư bốn hệ thống tường lửa, bốn hệ thống cân bằng tải, bốn hệ thống chuyển mạch và 40 máy chủ vật lý cấu hình cao; phần mềm có giải pháp đảm bảo tính bảo mật tốt (sử dụng giải pháp mạng riêng ảo VPN để xác thực tài khoản).

Về công tác giám sát và hỗ trợ kỹ thuật, Viettel cho biết họ có sẵn mạng lưới hỗ trợ 24/7 với phạm vi rộng khắp cả nước, đảm bảo hệ thống ổn định thông suốt, phục vụ tất cả các đối tượng tham gia vào hệ thống.

Nên lường trước sự cố xảy ra

Theo các chuyên gia an ninh mạng, đây là website rất quan trọng nên việc có thể bị tấn công là điều tất yếu, thậm chí sẽ có cả các cuộc tấn công có chủ đích để thay đổi, sửa đổi thông tin, thông báo ...

Chuyên gia bảo mật Trần Quang Chiến, giám đốc Công ty VNIST Corp, đưa ra một số khả năng bảo mật website trên có thể gặp phải như: tin tặc tấn công khai thác lỗ hổng trong hệ thống để đánh cắp các thông tin cá nhân của thí sinh; tin tặc tấn công và thay đổi nội dung (sửa thông tin, sửa điểm, thay đổi các thông báo cho thí sinh...); đặc biệt, website có thể bị tấn công DDOS gây gián đoạn quá trình đăng ký, xem thông tin của thí sinh.

Vì vậy theo ông Chiến, nhà phát triển website cần có quá trình kiểm thử, đánh giá bảo mật trước khi đưa vào sử dụng, đồng thời thực hiện các cuộc diễn tập sự cố an ninh mạng để có các phương án khắc phục trong các trường hợp xấu.

Bên cạnh đó, hệ thống phải được đầu tư về hạ tầng (máy chủ, băng thông, mạng...) để chống lại các cuộc tấn công DDoS mức độ lớn; cần có các hệ thống giám sát an ninh mạng 24/7 để phát hiện sớm nhất các sự cố, các cuộc tấn công mạng; có các kênh thông tin hỗ trợ 24/7 cho thí sinh trong các trường hợp bị mất tài khoản...

Về phía người dùng, thí sinh cũng cần tự bảo vệ mình trước các website giả mạo (các website có giao diện và chức năng giống hệ website của Bộ GD-ĐT, các website này nhằm mục đích thu thập thông tin thí sinh), vì sẽ có nhiều thí sinh không có điều kiện tiếp cận nhiều với máy tính, Internet.