Bảo mật web application
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (331.68 KB, 18 trang )
TỔNG LIÊN ĐOÀN LAO ĐỘNG VIỆT NAM
TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG
KHOA CÔNG NGHỆ THÔNG TIN VÀ TOÁN ỨNG DỤNG
TIỂU LUẬN TỐT NGHIỆP
BẢO MẬT WEB APPLICATION
Giảng viên hướng dẫn: Thầy VŨ ĐÌNH HỒNG
Sinh viên thực hiện:
NGUYỄN LÂM
Lớp: 06
TH
1D
Khóa: 10
Tp.Hồ Chí Minh, tháng 06 năm 2010
Đề tài: BẢO MẬT WEB APPLICATION GVHD: Thầy Vũ Đình Hồng
Lời Cám Ơn
Trong suốt quá trình học tập tại trường Đại học Tôn Đức Thắng, em đã được
tạo điều kiện thuận lợi cho việc học tập của mình, đồng thời em cũng nhận được rất
nhiều sự quan tâm, dìu dắt dạy bảo tận tình của quí Thầy Cô. Lời đầu tiên, em xin gửi
đến tất cả các thầy cô trong Khoa Công Nghệ Thông Tin & Toán Ứng Dụng,
trường Đại Học Tôn Đức Thắng lòng biết ơn chân thành đối với những gì thầy cô
đã dành cho em trong suốt thời gian qua.
Và hơn hết, em xin gửi lời cảm ơn sâu sắc đến Thầy Vũ Đình Hồng, người đã
trực tiếp hướng dẫn em trong suốt thời gian thực hiện đề tài. Với sự quan tâm hướng
dẫn tận tình của Thầy, em đã từng bước làm quen với quá trình thực hiện đề tài và đã
có những thành quả nhất định. Trong suốt quá trình được Thầy hướng dẫn em đã học
tập được rất nhiều từ Thầy về kiến thức chuyên môn, tác phong làm việc và nhiều
điều bổ ích khác. Chính nhờ những điều đó, em mới có thể hoàn thành khóa luận tốt
nghiệp này.
Cuối cùng em xin gửi lời cảm ơn tới gia đình và bạn bè đã luôn bên cạnh, ủng
hộ và động viên em trong những lúc gặp phải khó khăn để em có thể hoàn thành quá
trình học tập, nghiên cứu và thực hiện khóa luận tốt nghiệp này.
Mặc dù em đã làm việc nghiêm túc và rất cố gắng hoàn thành tiểu luận, nhưng
chắc chắn sẽ không tránh khỏi những thiếu sót, kính mong sự cảm thông và tận tình
chỉ bảo của quý Thầy Cô và các bạn.
Sinh viên thực hiện:
Nguyễn Lâm
SVTH: Nguyễn Lâm – 060219T Trang 2
Đề tài: BẢO MẬT WEB APPLICATION GVHD: Thầy Vũ Đình Hồng
Nhận xét của giáo viên hướng dẫn:
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
SVTH: Nguyễn Lâm – 060219T Trang 3
Đề tài: BẢO MẬT WEB APPLICATION GVHD: Thầy Vũ Đình Hồng
Nhận xét của giáo viên phản biện:
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
SVTH: Nguyễn Lâm – 060219T Trang 4
Đề tài: BẢO MẬT WEB APPLICATION GVHD: Thầy Vũ Đình Hồng
MỤC LỤC
Lời mở đầu
Chương I : Security Engineering Approach
Chương II : Security Objectives
Chương III : Security Design Guidelines
Chương IV : Threat Modeling
Chương V : Security Architecture and Design Review
SVTH: Nguyễn Lâm – 060219T Trang 5
Đề tài: BẢO MẬT WEB APPLICATION GVHD: Thầy Vũ Đình Hồng
Lời mở đầu
Theo thống kê, trong năm 2009, nước ta có hơn 1000 website bị hacker tấn công,
tăng hơn gấp đôi so với năm 2008 (461 website) và gấp ba lần so với năm 2007 (342
website). Mạng Internet Viet Nam còn tiềm ẩn rất nhiều rủi ro về mặt an ninh.
Trong ba tháng đầu năm nay, ước tính đã có hơn 300 website của các cá nhân và tổ
chức có tên miền .vn bị các hacker nước ngoài thăm dò và tấn công. Các website bị
tấn công chủ yếu là các website kinh doanh trực tuyến, ngân hàng, các tổ chức cung
cấp dịch vụ.
Nguyên nhân bị tấn công chủ yếu là sự yếu kém của các website ở Việt Nam trong
các vấn đề kiểm soát lỗ hỗng, quản trị yếu kém, phớt lờ các cảnh bảo an ninh của các
tổ chức bảo đảm an ninh an toàn thông tin. Số lượng các điểm yếu an ninh được phát
hiện trong năm 2009 đã lên đến con số 4300 (năm 2008 chỉ là 3500), có tới 30% lỗ
hổng có mức độ nguy hiểm cao. Gần một nữa (49%) số lỗ hổng an ninh vẫn chưa có
các bản vá do nhà cung cấp phát hành.
Trong năm 2009, chỉ tính riêng hơn 40 vụ án công nghệ cao bị phanh phui, thiệt hại
mà nó đem lại đã lên đến hàng ngàn tỷ đồng. Các vụ tấn công tin học nhắm vào ngân
hàng, thị trường chứng khoáng ngày càng gia tăng. Nhưng do tính chất đặc thù, hầu
hết các vụ việc không được công khai nên người ta không lường hết được mức độ
nguy hiểm của nó.
Những số liệu ở trên được lấy từ Hội Thảo – Triễn lãm quốc gia về an ninh bảo mật
lần thứ năm tại Hà Nội (Security World 2010).
An ninh mạng không phải chỉ là những biện pháp kỹ thuật sữa lỗi và bảo vệ hệ thống
sau khi nó đã được dựng lên và từng bị xâm nhập, tấn công, cài đặt virus, hay
backdoor. An ninh mạng vốn là một quy trình cần phải được xây dựng ngay từ đầu.
Vậy quy trình đó được xây dựng như thế nào và triễn khai ra sao. Tiểu luận xin được
trình bày về quy trình này.
Những số liệu trên đã phần nào khái quát rõ tình hình an ninh mạng hiện nay trên Thế
Giới nói chung và Việt Nam nói riêng đang diễn biến rất phức tạp. Các lỗ hỗng xuất
hiện ngày càng nhiều, các kĩ thuật tấn công ngày càng tiên tiến, các chủng loại virus,
trojan, worm… càng ngày càng có nhiều biến thể. Trong tình hình đó việc phải thiết
kế, xây dựng và phát triễn ứng dụng một cách an toàn đó thật sự là một thách thức
lớn trong tình hình hiện nay.
An ninh mạng vốn dĩ là một quy trình bảo mật lặp đi lặp lại, và quy trình này phải
được tích hợp song song với quy trình phát triễn của ứng dụng. Quy trình này bao
gồm hàng loạt những hành động có liên hệ với nhau từ việc xác định đối tượng bảo
mật, áp dụng những hướng dẫn thiết kế bảo mật vào trong kiến trúc và thiết kế của
ứng dụng, đến việc thiết lập mô hình hóa mối đe dọa , thiết lập code bảo mật, cho đến
việc kiểm tra và triễn khai ứng dụng.
SVTH: Nguyễn Lâm – 060219T Trang 6
Đề tài: BẢO MẬT WEB APPLICATION GVHD: Thầy Vũ Đình Hồng
Nội dung của đề tài gồm có 5 chương bao gồm :
Chương I : Quy trình bảo mật.
Chương II : Kĩ thuật xác định mục tiêu bảo mật.
Chương III : Kĩ thuật áp dụng những nguyên tắc bảo mật vào trong thiết kế.
Chương IV : Kĩ thuật thiếp lập mô hình hóa mối đe dọa.
Chương V : Kĩ thuật phân tích kiến trúc và thiết kế của ứng dụng.
SVTH: Nguyễn Lâm – 060219T Trang 7
