HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG

PHẠM MINH TUẤN

NGHIÊN CỨU VẤN ĐỀ AN TỒN BẢO MẬT THƠNG TIN
VÀ ĐỀ XUẤT GIẢI PHÁP AN TỒN HỆ THỐNG THƠNG
TIN TẠI TRUNG TÂM LƯU TRỮ CƠ SỞ DỮ LIỆU ADN
TRỰC THUỘC CỤC NGƯỜI CĨ CƠNG

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)

HÀ NỘI – NĂM 2022


HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG

PHẠM MINH TUẤN

NGHIÊN CỨU VẤN ĐỀ AN TỒN BẢO MẬT THƠNG TIN
VÀ ĐỀ XUẤT GIẢI PHÁP AN TỒN HỆ THỐNG THƠNG
TIN TẠI TRUNG TÂM LƯU TRỮ CƠ SỞ DỮ LIỆU ADN
TRỰC THUỘC CỤC NGƯỜI CĨ CƠNG
Chun ngành: Kĩ thuật viễn thơng
Mã số: 8.52.02.08

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. NGUYỄN NGỌC MINH

Hà Nội – NĂM 2022


i

LỜI CAM ĐOAN
Tơi cam đoan đây là cơng trình nghiên cứu của riêng tôi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai
công bố trong bất kỳ cơng trình nào khác.
Hà Nội, ngày 23 tháng 4 năm 2022
Tác giả

Phạm Minh Tuấn


ii

LỜI CẢM ƠN
Lời đầu tiên , học viên xin chân thành cảm ơn đến các thầy giáo, cô giáo
thuộc Học viện cơng nghệ Bưu chính viễn thơng, Khoa Đào tạo sau đại học - Học
viện Cơng nghệ Bưu chính viễn thông đã giảng dạy, truyền đạt các nội dung kiến
thức, kinh nghiệm quý báu trong suốt quá trình học viên theo học tại Học viện mà
nhờ đó, học viên đã trau dồi, bổ sung, hoàn thiện hơn nữa hệ thống kiến thức chuyên
môn, đáp ứng tốt hơn yêu cầu công tác tại đơn vị.
Đặc biệt, học viên xin gửi lời cảm ơn trân thành tới người hướng dẫn khoa
học, thầy giáo TS. Nguyễn Ngọc Minh, Khoa Kĩ thuật điện tử 1 - Học viện Cơng
nghệ Bưu chính viễn thơng đã tâm huyết, tận tình chỉ bảo, hướng dẫn, định hướng
đúng đắn giúp học viên hoàn thành được luận văn này.
Học viên cũng xin được bày tỏ sự cảm ơn sâu sắc tới gia đình, đồng nghiệp và
tập thể lớp Cao học Kĩ thuật viễn thông- Đợt 2 năm 2020 đã đồng hành, khích lệ và

chia sẻ trong suốt q trình học tập.
Trân trọng cảm ơn./.
Hà Nội, ngày 23 tháng 4 năm 2022
Học viên

Phạm Minh Tuấn


iii

MỤC LỤC
MỤC LỤC ........................................................................................................ iii
DANH MỤC BẢNG BIỂU ............................................................................... vi
DANH MỤC HÌNH VẼ ................................................................................... vii
MỞ ĐẦU............................................................................................................ 1
CHƯƠNG 1: CƠ SỞ LÝ THUYẾT VỀ AN TỒN, BẢO MẬT THƠNG TIN 3
1. Khái qt về an tồn, bảo mật thơng tin ........................................................ 3
1.1.Giới thiệu về an tồn, bảo mật thơng tin........................................................... 3
1.2.Thực trạng an tồn, bảo mật thơng tin .............................................................. 4
2. Hệ thống thơng tin, các mức độ an tồn, bảo mật hệ thống thông tin, các
mối nguy hiểm khi mất an tồn hệ thống thơng tin ........................................... 5
2.1.Hệ thống thơng tin ............................................................................................ 5
2.2.Đảm bảo an tồn hệ thống thơng tin ................................................................. 5
2.3.Các mức độ an tồn bảo mật hệ thống thơng tin .............................................. 6
2.4.Một số yêu cầu bảo mật cho Hệ thống thông tin ............................................ 10
2.5.Một số nguy cơ đối với hệ thống thông tin ..................................................... 13
KẾT LUẬN CHƯƠNG I ................................................................................. 14
CHƯƠNG II: CƠ SỞ DỮ LIỆU, HỆ THỐNG QUẢN LÝ CƠ SỞ DỮ LIỆU,
ỨNG DỤNG WEB ........................................................................................... 15
1. Tổng quan về Cơ sở dữ liệu ........................................................................ 15

1.1.Kiến trúc ba lược đồ và dữ liệu độc lập .......................................................... 15
1.2.Kiến trúc tập trung và Kiến trúc Máy khách/Máy chủ cho DBMS ................ 17
1.3.Phân loại Cơ sở dữ liệu ................................................................................... 22
2. Hệ thống quản lý cơ sở dữ liệu ..................................................................... 24
2.1.Nền tảng phát triển hệ thống ........................................................................... 24
2.2.Một số hệ quản trị cơ sở dữ liệu ..................................................................... 28
3. Công nghệ ứng dụng web, những nguy cơ bảo mật đối với công nghệ ứng dụng
web................................................................................................................... 29
3.1.Giới thiệu về công nghệ ứng dụng web .......................................................... 29
3.2.Hoạt động của ứng dụng web, những nguy cơ bảo mật đối với ứng dụng web . 30
KẾT LUẬN CHƯƠNG II ................................................................................ 34


iv
CHƯƠNG III: ĐỀ XUẤT GIẢI PHÁP AN TOÀN HỆ THỐNG THÔNG TIN
TẠI TRUNG TÂM LƯU TRỮ CSDL ADN ................................................... 35
1. Giới thiệu chung .......................................................................................... 35
1.1. Tổng quan về Trung tâm................................................................................ 35
1.2. Sơ đồ hệ thống ............................................................................................... 35
2. Khảo sát hiện trạng Trung tâm lưu trữ CSDL ADN ................................... 36
2.1. Khảo sát hệ thống hạ tầng kết nối .................................................................. 36
2.2. Khảo sát Hệ thống phần mềm quản lý cơ sở dữ liệu Trung tâm lưu trữ CSDL
AND ...................................................................................................................... 39
2.3. Giao diện và nguyên lý vận hành của hệ thống quản lý CSDL ADN liệt sĩ . 43
2.4. Đánh giá ......................................................................................................... 48
3. Đề xuất giải pháp an tồn hệ thống thơng tin tại Trung tâm lưu trữ CSDL
ADN ..................................................................................................................50
3.1. Giới thiệu chung ............................................................................................ 50
3.2. Giải pháp Zed Attack Proxy (ZAP) ............................................................... 50
4. Mô phỏng thử nghiệm giải pháp .................................................................. 52

4.1. Kịch bản mô phỏng ........................................................................................ 52
4.2. Các bước thực hiện ........................................................................................ 52
4.3. Kết quả mô phỏng thử nghiệm....................................................................... 55
4.4. Đánh giá kết quả mô phỏng ........................................................................... 61
Kết luận chương 3 ........................................................................................... 63
KẾT LUẬN ...................................................................................................... 64
1. Các kết quả đã đạt được ............................................................................. 64
2. Hướng nghiên cứu tiếp theo ........................................................................ 64
DANH MỤC TÀI LIỆU THAM KHẢO.......................................................... 65


v

DANH MỤC TỪ NGỮ VIẾT TẮT
STT

Từ viết
tắt

1

AJAX

2

API

3

CSRF


4

CSS

5

DOM

6
7

DoS
HTTP

8

IDS

9

OWASP

10

XSS

11
12


SOA
SOAP

13
14

SSL
URL

15

WAF

Nghĩa tiếng Anh

Nghĩa tiếng Việt

Asynchronous Javascript and Phương thức trao đổi dữ
XML
liệu với máy chủ và cập
nhật một hay nhiều phần
của trang web
Application
Programming Giao diện lập trình ứng
Interface
dụng
Cross-Site Request Forgery
Giả mạo yêu cầu liên kết
trang
Cascading Style Sheets

Ngôn ngữ tạo phong cách
cho trang web
Document Object Model
Mơ hình Các Đối tượng
Tài liệu
Denial of Services
Tấn cơng từ chối dịch vụ
HyperText Transfer Protocol
Giao thức truyền tải siêu
văn bản
Intrusion Detection Systems
Hệ thống phát hiện xâm
nhập
Open
Web
Application Dự án mở về bảo mật ứng
Security Project
dụng web
Cross-Site Scripting
Một dạng kỹ thuật tấn công
vào code injection của máy
khách
Service Oriented Architecture Kiến trúc hướng dịch vụ
Simple Object Access Protocol Giao thức truy cập đối
tượng đơn giản
Secure Sockets Layer
Lớp socket bảo mật
Uniform Resource Locator
Hệ thống định vị tài
nguyên thống nhất

Web application firewall
Tường lửa ứng dụng web


vi

DANH MỤC BẢNG BIỂU
Bảng 1.1: Ba mức độ tác động tương ứng lên hệ thống..............................................7
Bảng 1.2: Phân loại thông tin theo 06 cấp độ .............................................................8
Bảng 1.3: Bảng mô tả cấp độ an tồn thơng tin theo Luật an tồn thơng tin ..............9
Bảng 3.1 : Kết quả kiểm tra lỗ hổng bảo mật tại hệ thống csdl.lietsi.vn ..................55
Bảng 3.2 : Kết quả kiểm tra lỗ hổng bảo mật tại website: tutorialsninja.com ..........58


vii

DANH MỤC HÌNH VẼ
Hình 1.1: Các cấp độ an tồn thơng tin .....................................................................10
Hình 2.1: Kiến trúc ba lược đồ ..................................................................................15
Hình 2.2 : Mơ hình kiến trúc tập trung ....................................................................18
Hình 2.3: Kiến trúc logic máy khách/máy chủ .........................................................19
Hình 2.4: Kiến trúc vật lý hai tầng máy khách/máy chủ...........................................19
Hình 2.5: Kiến trúc ba tầng logic máy khách/máy chủ .............................................21
Hình 2.6: Hoạt động của ứng dụng web ...................................................................30
Hình 3.1: Sơ đồ cấu trúc Trung tâm lưu trữ CSDL ADN .........................................36
Hình 3.2: Mơ hình hệ thống tại Trung tâm thơng tin ................................................37
Hình 3.3: Sơ đồ kết nối hệ thống máy chủ ảo hóa ....................................................37
Hình 3.4: Mơ hình kết nối hạ tầng hệ thống của Trung tâm lưu trữ ADN ...............38
Hình 3.5: Mơ hình kiến trúc ứng dụng tại Bộ Lao động - Thương binh và Xã hội ..39
Hình 3.6: Mơ hình kiến trúc dữ liệu tại Bộ Lao động - Thương binh và Xã hội ......40

Hình 3.7: Mơ hình kiến trúc 3 lớp của hệ thống .......................................................42
Hình 3.8: Giao diện hệ thống phần mềm ..................................................................44
Hình 3.9: Sơ đồ tổng thể của hệ thống .....................................................................45
Hình 3.10: Mơ hình tích hợp trao đổi dữ liệu ...........................................................48
Hình 3.11 : Nguyên tắc hoạt động của ZAP .............................................................51
Hình 3.12 : Khởi tạo ZAP .........................................................................................53
Hình 3.13 : Thiết lập thơng số ZAP ..........................................................................53
Hình 3.14: Đăng nhập hệ thống để quét lỗi an tồn thơng tin ..................................54
Hình 3.15: Q trình qt lỗ hổng ............................................................................54
Hình 3.16: Kết quả của quá trình quét lỗ hổng bảo mật ...........................................54
Hình 3.17: Báo cáo về lỗ hổng về phịng chống tấn cơng CSRF............................55
Hình 3.18: Báo cáo về lỗ hổng thiếu phương pháp chống tấn công clickjacking ....57
Hình 3.19 : Báo cáo về lỗ hổng Cross Site Scripting (XSS-Reflected) ....................59
Hình 3.20: Báo cáo về lỗ hổng chuyển hướng bên ngồi (External Redirect) .........59
Hình 3.21: Báo cáo về lỗ hổng Path Traversal .........................................................60
Hình 3.22: Báo cáo về lỗ hổng RFI (Remote file inclusion) ....................................61


1

MỞ ĐẦU
Ngày 03/6/2020, Thủ tướng Chính phủ đã ban hành Quyết định Phê duyệt
“Chương trình Chuyển đổi số Quốc gia đến năm 2025, định hướng đến năm 2030”
trong đó với tầm nhìn đến năm 2030, Việt Nam trở thành quốc gia số, ổn định và
thịnh vượng, tiên phong thử nghiệm các cơng nghệ và mơ hình mới; đổi mới căn bản,
tồn diện hoạt động quản lý, điều hành của Chính phủ, hoạt động sản xuất kinh doanh
của doanh nghiệp, phương thức sống, làm việc của người dân, phát triển môi trường
số an toàn, nhân văn, rộng khắp. Trên cơ sở đó, các Bộ, ban, ngành và các địa phương
đang đẩy mạnh ứng dụng công nghệ thông tin, chuyển đổi số vào trong các hoạt động
xử lý công việc. Cùng với đó là việc triển khai xây dựng thu thập thơng tin, tài liệu,

hồ sơ chuyển hóa thành dữ liệu, tạo lập cơ sở dữ liệu để lưu trữ, quản lý phục vụ các
mục đích quản lý nhà nước. Bộ Lao động - Thương binh và Xã hội đã đẩy mạnh ứng
dụng Công nghệ thông tin trên các lĩnh vực quản lý Nhà nước, trong đó có thể kể đến
việc xây dựng Cơ sở dữ liệu , trang thông tin điện tử để phục vụ người dân, doanh
nghiệp như: cơ sở dữ liệu quốc gia về Việc làm, Cổng thông tin điện tử về liệt sĩ, mộ
liệt sĩ, nghĩa trang liệt sĩ, cơ sở dữ liệu ADN liệt sĩ... Do đó, việc đảm bảo an tồn
thơng tin đối với Bộ Lao động - Thương binh và Xã hội nói chung và các đơn vị Quản
lý nhà nước trực thuộc nói riêng là điều hết sức cần thiết.
Trung tâm lưu trữ cơ sở dữ liệu ADN thuộc Cục Người có cơng được xây dựng
để phục vụ công tác xác định hài cốt liệt sĩ cịn thiếu thơng tin, trong đó hệ thống
phần mềm cơ sở dữ liệu có chức năng lưu trữ, tra cứu, phân tích, so sánh, đối khớp
dữ liệu ADN hài cốt liệt sĩ, thân nhân liệt sĩ để xác định hài cốt liệt sĩ cịn thiếu thơng
tin. Do đó việc bảo mật hệ thống thông tin này là việc hết sức quan trọng và cần thiết.
Từ những lí do trên, học viên lựa chọn đề tài “Nghiên cứu vấn đề an tồn bảo
mật thơng tin và đề xuất giải pháp an tồn hệ thống thơng tin tại Trung tâm lưu trữ
Cơ sở dữ liệu ADN trực thuộc Cục Người có cơng” cho luận văn tốt nghiệp trình độ
đào tạo thạc sĩ.
Mục tiêu nghiên cứu
Mục tiêu tổng quan: Mục tiêu tổng quan của luận văn là nghiên cứu các vấn
đề về an tồn bảo mật thơng tin, khảo sát thực tiễn, đánh giá, phân tích đề xuất giải
pháp an tồn hệ thống thông tin tại Trung tâm lưu trữ CSDL ADN thuộc Cục Người
có cơng.


2
Mục tiêu cụ thể:
Nghiên cứu lí thuyết an tồn, bảo mật thông tin.
Nghiên cứu kiến trúc cơ sở dữ liệu, biện pháp an toàn, bảo mật cơ sở dữ liệu.
Nghiên cứu đề xuất giải pháp an toàn, bảo mật hệ thống thông tin tại Trung
tâm lưu trữ CSDL AND thuộc Cục Người có cơng.

Đối tượng nghiên cứu và phạm vi nghiên cứu
Đối tượng nghiên cứu: Nghiên cứu về an toàn bảo mật thông tin.
Phạm vi nghiên cứu: Nghiên cứu các biện pháp an tồn, bảo mật thơng tin cơ
sở dữ liệu kết hợp với khảo sát thực tiễn, đánh giá, phân tích từ đó đề xuất giải pháp
an tồn bảo mật hệ thống thông tin tại Trung tâm lưu trữ CSDL AND thuộc Cục
Người có cơng.
Phương pháp nghiên cứu
Nghiên cứu lý thuyết.
Khảo sát thực tiễn, đánh giá, phân tích, đề xuất giải pháp an tồn hệ thống
thơng tin tại Trung tâm lưu trữ CSDL AND thuộc Cục Người có cơng.
Bố cục luận văn gồm 3 chương:
Chương 1: Cơ sở lý thuyết an tồn, bảo mật thơng tin
Chương 2: Cơ sở dữ liệu, hệ thống quản lý cơ sở dữ liệu, công nghệ ứng dụng
web
Chương 3: Đề xuất giải pháp an tồn hệ thống thơng tin tại Trung tâm lưu trữ
Cơ sở dữ liệu ADN


3

CHƯƠNG 1
CƠ SỞ LÝ THUYẾT VỀ AN TOÀN, BẢO MẬT THƠNG TIN
Trong chương này, luận văn sẽ trình bày khái qt về an tồn, bảo mật thơng
tin, hệ thống thơng tin, các mức độ an tồn thơng tin, một số u cầu đảm bảo an
tồn thơng tin với hệ thống thơng tin, một số nguy cơ về an tồn thơng tin.

1. Khái qt về an tồn, bảo mật thơng tin
1.1. Giới thiệu về an tồn, bảo mật thơng tin
An tồn, bảo mật thông tin là việc bảo vệ, ngăn chặn truy cập trái phép, sử
dụng, tiết lộ, làm gián đoạn, sửa đổi, sao chép hoặc phá hủy thông tin. Thông tin có

thể là thơng tin vật lý hoặc điện tử. Thơng tin có thể là bất cứ điều gì như hồ sơ của
cá nhân hay một tổ chức, dữ liệu kinh doanh, dữ liệu trên điện thoại di động, sinh trắc
học.... An tồn, bảo mật thơng tin được ứng dụng trong rất nhiều lĩnh vực nghiên cứu
như mật mã, điện tốn di động, truyền thơng xã hội trực tuyến...
Các chính sách, giải pháp an tồn thơng tin được xây dựng dựa trên 3 mục
tiêu, thường được gọi là CIA - Tính bảo mật (Confidentiality), Tính tồn vẹn,
(Integrity), Tính khả dụng (Availability).
Tính bảo mật: thơng tin khơng được tiết lộ cho các cá nhân, tổ chức và quy
trình trái phép.
Tính tồn vẹn: duy trì tính chính xác và đầy đủ của dữ liệu. Điều này có nghĩa
là dữ liệu khơng thể được chỉnh sửa theo cách trái phép.
Tính khả dụng: thơng tin phải có sẵn khi cần thiết.
Tấn cơng từ chối dịch vụ là một trong những yếu tố có thể cản trở sự sẵn có
của thơng tin.
Ngồi điều này ra cịn có một ngun tắc nữa tác động lên các chính sách an
tồn, bảo mật thơng tin như:
Khơng từ chối (Non repudiation): là một bên không thể từ chối việc nhận
tin nhắn hoặc giao dịch cũng như bên kia không thể từ chối việc gửi tin nhắn hoặc
giao dịch. Tính tồn vẹn và tính xác thực của dữ liệu là điều kiện tiên quyết để
khơng từ chối.
Tính xác thực (Authenticity): là xác minh rằng người dùng là chính họ và mỗi
đầu vào đến đích là từ một nguồn đáng tin cậy.


4
Trách nhiệm giải trình (Accountability): là có thể theo dõi các hành động của
một đơn vị duy nhất đối với đơn vị đó.
Vấn đề cốt lõi của An tồn thơng tin là đảm bảo thơng tin, có nghĩa là hành
động duy trì thơng tin của CIA, đảm bảo rằng thơng tin không bị xâm phạm theo bất
kỳ cách nào khi các vấn đề quan trọng phát sinh. Do đó, việc đảm bảo an tồn, bảo

mật hệ thống thơng tin, hệ thống mạng của các cơ quan, tổ chức, doanh nghiệp ln
là đề tài nóng, nhận được sự quan tâm của các nhà lãnh đạo các quốc gia, lãnh đạo
các tổ chức, cơ quan, doanh nghiệp.

1.2. Thực trạng an toàn, bảo mật thơng tin
Q trình tồn cầu hóa kết hợp với xu thế công nghệ, dịch vụ ICT hiện nay
đang tạo ra những cơ hội phát triển mạnh mẽ và toàn diện, tuy nhiên điều này cũng
đặt ra những thách thức, những nguy cơ to lớn về vấn đề an toàn thông tin, hệ thống
thông tin, các hệ thống hạ tầng công nghệ thông tin của quốc gia, doanh nghiệp, các
quá trình chuyển đổi số, ứng dụng cơng nghệ thơng tin trong các hoạt động quản trị
do mối đe dọa từ tội phạm công nghệ cao mang lại.
Theo số liệu từ các tổ chức an ninh quốc tế, trong số các loại tội phạm nguy
hiểm, tội phạm sử dụng công nghệ cao đứng thứ 2 chỉ sau tội phạm khủng bố. Theo
một nghiên cứu được thực hiện bởi Frost & Sullivan cùng Microsoft đã tiết lộ khả
năng thiệt hại về kinh tế trên khắp Châu Á - Thái Bình Dương gây ra bởi sự cố an
ninh mạng có thể đạt mức 1,745 nghìn tỷ USD, tương đương hơn 7% tổng GDP của
khu vực [15].
Một số vụ việc gây thiệt hại lớn có thể kể đến trên thế giới như: Facebook liên
tiếp gây rị rỉ thơng tin người dùng; Google+ bị khai tử do tồn tại lỗ hổng bảo mật gây
rò rỉ dữ liệu người dùng; tin tặc đánh cắp 90 GB dữ liệu của Apple hay gần đây nhất
trong Quý 1/2022, Samsung Electronics bị ảnh hưởng nghiêm trọng khi một cuộc tấn
công mạng tàn khốc diễn ra, khiến nhiều dữ liệu bí mật của họ bị rị rỉ trên mạng
(190Gb dữ liệu nhạy cảm). Tại Việt Nam cũng xảy ra rất nhiều các vụ việc nghiêm
trọng liên quan đến dữ liệu cá nhân như: rị rỉ thơng tin dữ liệu của 5,4 triệu khách
hàng Thế Giới Di Động; lộ dữ liệu thơng tin khách hàng của FPT Shop; 275 nghìn
dữ liệu Ngân hàng Hợp tác xã Việt Nam bị tin tặc khai thác...[7].
Một số phương thức thủ đoạn phổ biến nhằm đánh cắp thông tin dữ liệu cá
nhân của người dùng mà các đối tượng thường sử dụng như thông qua trang web, qua



5
các phần mềm miễn phí trên mạng, thư điện tử, thiết bị ngoại vi hoặc các thiết bị
thơng minh.
Ngồi những thủ đoạn phổ biến kể trên, việc lộ lọt các thơng tin cá nhân của
người dùng cịn xuất phát từ chính người dùng. Nhận thức của một bộ phận người
dân về nguy cơ mất an ninh, an tồn thơng tin cịn hạn chế, tác phong giao tiếp trên
mơi trường mạng cịn tùy tiện. Nhu cầu trao đổi thơng tin qua USB, thư điện tử ngày
càng nhiều nhưng chưa có các biện pháp cụ thể và toàn diện để bảo đảm an ninh, an
tồn thơng tin mạng. Các cơ quan, tổ chức chưa có đủ nhân lực, vật lực để thực hiện
công tác bảo đảm an ninh, an ninh thông tin; chưa kiểm soát hết khả năng mất an
ninh, an ninh thông tin do các phần mềm, thiết bị phần cứng nhập ngoại.

2. Hệ thống thông tin, các mức độ an tồn, bảo mật hệ thống thơng tin,
các mối nguy hiểm khi mất an tồn hệ thống thơng tin
2.1. Hệ thống thơng tin
Hệ thống thơng tin là một tập hợp tích hợp của các thành phần để thu thập, lưu
trữ, xử lý và truyền đạt thông tin. Doanh nghiệp và tổ chức sử dụng hệ thống thông
tin để quản lý hoạt động của họ trên thị trường cung cấp dịch vụ và nâng cao đời sống
cá nhân.
Có hai loại hệ thống thông tin được đưa ra dưới đây: Hệ thống thông tin mục
đích chung và Hệ thống thơng tin chun ngành.
Hệ thống thơng tin mục đích chung: Có một số loại hệ thống thơng tin chung.
Ví dụ hệ thống quản lý cơ sở dữ liệu (DBMS) là sự kết hợp giữa phần mềm và dữ
liệu để có thể tổ chức và phân tích dữ liệu. Phần mềm hệ thống quản lý cơ sở dữ liệu
thường không được thiết kế để làm việc với một tổ chức cụ thể hoặc một loại phân
tích cụ thể.
Hệ thống thơng tin chun ngành: Ngược lại, có một số hệ thống thơng tin
chun biệt đã được thiết kế đặc biệt để hỗ trợ một quá trình cụ thể trong một tổ chức
hoặc để thực hiện các nhiệm vụ phân tích rất cụ thể. Ví dụ: Hoạch định nguồn lực
doanh nghiệp (ERP) (được sử dụng để tích hợp quản lý hệ thống thơng tin trong tồn

bộ tổ chức)

2.2. Đảm bảo an tồn hệ thống thơng tin
Để đảm bảo an ninh an tồn hệ thống thơng tin, cần phải cung cấp ít nhất các
dịch vụ sau đây, được đưa ra dưới đây.


6
Xác thực: Đây là hành động xác định xem một thực thể (xác thực) có quyền
thực hiện hành động hay khơng.
Đánh giá: Cung cấp lịch sử hoạt động có thể được sử dụng để xác định điều gì
(nếu có) đã sai và nguyên nhân dẫn đến sai sót.
Xác thực vật lý: Một số cơ quan, tổ chức xác thực chẳng hạn như một đối tượng
(chìa khóa hoặc thẻ thơng minh) hoặc một đặc điểm cá nhân như vân tay, mẫu võng
mạc, hình học bàn tay.
Bảo mật dữ liệu: Nó bảo vệ chống lại việc tiết lộ bất kỳ dữ liệu nào trong quá
trình vận chuyển và được cung cấp bằng cách mã hóa dữ liệu.

2.3. Các mức độ an tồn bảo mật hệ thống thơng tin
Đảm bảo an tồn hệ thống thông tin tuân thủ theo tiêu chuẩn, quy chuẩn kỹ
thuật được phân chia theo cấp độ và được thực hiện thường xuyên và liên tục từ
các bước ban đầu như lập kế hoạch, thiết kế thi công hai đến vận hành và sau cùng
là hủy bỏ. Người vận hành hoặc sử dụng truy cập hợp pháp vào hệ thống thông tin
của cơ quan, đơn vị tuân thủ theo các quy định đảm bảo an tồn thơng tin hệ thống
do cơ quan, tổ chức ban hành. Yêu cầu đảm bảo an tồn hệ thống thơng tin theo
từng cấp độ là yêu cầu tối thiểu tương ứng với cấp độ đó.

2.3.1. Trên thế giới
Việc xác định loại bảo mật của hệ thống thơng tin địi hỏi phải phân tích
và phải xem xét các hạng bảo mật của tất cả các loại thông tin thường trú trên hệ

thống thông tin. Cho một hệ thống thông tin, các giá trị tác động tiềm ẩn được
chỉ định cho các mục tiêu an ninh tương ứng (tính bảo mật, tính tồn vẹn, tính
khả dụng) phải là các giá trị cao nhất (tức là dấu nước cao) trong số các giá trị
những danh mục bảo mật đã được xác định cho từng loại thông tin cư trú trên hệ
thống thông tin.
Định dạng tổng quát để thể hiện loại bảo mật của một hệ thống thông tin là:
SCinformation

system

= {(confidentiality, impact), (integrity, impact), (availability,

impact)}
trong đó các giá trị có thể chấp nhận được đối với tác động tiềm ẩn là THẤP,
TRUNG CẤP hoặc CAO.


7
Việc phân loại hệ thống thông tin cũng dựa vào các thuộc tính và tác động như
với thơng tin.
SCinformation
impact)}

system

= {(confidentiality, impact), (integrity, impact), (availability,

Trong đó SC là mức độ an tồn của hệ thống thơng tin. Đối với hệ thống thông
tin, impact cần được đặt giá trị cao nhất trong số các giá trị đã được xác định cho các
loại thơng tin có trong hệ thống.

Bộ tiêu chuẩn FIPS 200 đưa ra ba phân loại cơ bản:
Hệ thống có tác động thấp: HTTT có yêu cầu thấp đối với cả ba thuộc tính bí
mật, tồn vẹn và khả dụng.
Hệ thống có tác động trung bình: HTTT có ít nhất một thuộc tính là trung bình,
khơng có thuộc tính nào ở mức cao.
Hệ thống có tác động cao: HTTT có ít nhất một thuộc tính là mức cao.
Bộ tiêu chuẩn FIPS 199 đưa ra ba mức độ tác động như trong Bảng 1.1. Căn
cứ vào ba thuộc tính: bí mật, tồn vẹn, khả dụng của thông tin và ba mức độ tác động
tương ứng, có thể phân loại thơng tin theo 06 cấp độ như trong Bảng 1.2
Mức độ tác động

Tác động do mất tính bí mật, tồn vẹn,
khả dụng

Thấp

Gây ra ảnh hưởng một phần đối với hoạt
động, tài sản của cơ quan, tổ chức, cá nhân

Trung bình

Gây ra ảnh hưởng nghiêm trọng đối với
hoạt động, tài sản của cơ quan, tổ chức, cá
nhân

Cao

Gây ra ảnh hưởng nặng nề hay gây ra
khủng hoảng đối với hoạt động, tài sản
của tổ chức, cá nhân


Bảng 1.1: Ba mức độ tác động tương ứng lên hệ thống


8

Phân loại

Tác động khi mất thông tin

Tuyệt mật

Thiệt hại đáng kể cho mạng sống của con
người, xung đột ngoại giao quốc tế, hoặc
ảnh hưởng nghiêm trọng đến hoạt động
tình báo.

Tối mật

Đe dọa đến mạng sống của con người, phá
rối trật tự xã hội hoặc gây phương hại đến
quan hệ ngoại giao quốc tế.

Mật

Xâm phạm quyền con người, gây thiệt hại
về vật chất, quan hệ ngoại giao quốc tế,
ảnh hưởng nghiêm trọng đến đời sống
hàng ngày.


Hạn chế

Ảnh hưởng đáng kể đến cá nhân, bất lợi
cho các hoạt động quân sự hoặc thực thi
pháp luật.

Bảo vệ

Gây phiền nhiễu cho các cá nhân, tổn thất
tài chính, thanh danh, tiếp tay tội phạm, bất
lợi trong thương mại hoặc ngoại giao.

Khơng phân loại

Khơng có tác động, không cần thiết phải
bảo vệ.

Bảng 1.2: Phân loại thông tin theo 06 cấp độ

2.3.2. Tại Việt Nam
Phân loại cấp độ an tồn hệ thống thơng tin là việc xác định cấp độ an tồn
thơng tin của hệ thống thơng tin theo cấp độ tăng dần từ 1 đến 5 để áp dụng biện pháp
quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ. [4]
Hệ thống thông tin được phân loại theo cấp độ an tồn như Bảng 1.3 và hình
1.1:


9
Tác động khơng mất an tồn
thơng tin

Ảnh hưởng tới quyền và lợi ích
hợp pháp của tổ chức, cá nhân
nhưng khơng làm tổn hại tới lợi
ích cơng cộng, trật tự, an tồn
xã hội, quốc phịng, an ninh
quốc gia [3, tr.10].
Ảnh hưởng nghiêm trọng tới
quyền và lợi ích hợp pháp của
tổ chức, cá nhân hoặc làm tổn
hại tới lợi ích cơng cộng nhưng
khơng làm tổn hại tới trật tự, an
tồn xã hội, quốc phòng, an
ninh quốc gia [3 trang 10].
Ảnh hưởng nghiêm trọng tới
sản xuất, lợi ích cơng cộng và
trật tự, an tồn xã hội hoặc làm
tổn hại tới quốc phịng, an ninh
quốc gia. [3, tr.10]
Ảnh hưởng đặc biệt nghiêm
trọng tới lợi ích cơng cộng và
trật tự, an tồn xã hội hoặc làm
tổn hại nghiêm trọng tới quốc
phòng, an ninh quốc gia. [3,
tr.10]

Phân loại

Mô tả

Cấp độ 1


Hệ thống phục vụ hoạt động nội bộ của cơ quan, tổ
chức và chỉ xử lý thông tin công cộng. [5, tr.4]

Cấp độ 2

Hệ thống ảnh hưởng đến lợi ích cơng cộng, ví dụ,
website của các cơ quan công quyền, cung cấp thông
tin, biểu mẫu phục vụ hành chính cơng của người,
dân khi bị ảnh hưởng, gián đoạn, bị sai lệch sẽ bị ảnh
hưởng công cộng ở mức độ nào đó. [5, tr.4]

Cấp độ 3

Hệ thống làm ảnh hưởng đến sản xuất, lợi ích cơng
cộng, an ninh quốc phòng, an ninh quốc gia như các
hệ thống thanh tốn điện tử, cung cấp dịch vụ cơng
mức độ 3, 4 khi bị phá hoại sẽ ảnh hưởng đến lợi ích
của xã hội trên diện rộng. [5, tr.4,5]
Hệ thống quốc gia phục vụ phát triển Chính phủ điện
tử, yêu cầu vận hành 24/7 và không chấp nhận
ngừng vận hành mà khơng có kế hoạch trước; hệ
thống cơ sở hạ tầng thông tin dùng chung phục vụ
hoạt động của các cơ quan, tổ chức trên phạm vi toàn
quốc; hệ thống thông tin điều khiển công nghiệp trực
tiếp phục vụ điều khiển, vận hành hoạt động bình
thường của các cơng trình xây dựng câp I theo phân
cấp của pháp luật về xây dựng. [5, tr.5]
Hệ thống xử lý thơng tin bí mật nhà nước hoặc hệ Ảnh hưởng đặc biệt nghiêm
thống phục vụ quốc phòng, an ninh, khi bị phá hoại trọng tới quốc phòng, an ninh

sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, quốc gia. [3, tr 10]
an ninh quốc gia; hoặc là hệ thống thông tin phục vụ
lưu trữ dữ liệu tập trung đối với một số loại hình
thơng tin, dữ liệu đặc biệt quan trọng của quốc gia;
hoặc là hệ thống cơ sở hạ tầng thông tin quốc gia
phục vụ kết nối liên thông hoạt động của Việt Nam
với quốc tế. [5, tr.5,6]

Cấp độ 4

Cấp độ 5

Bảng 1.3: Bảng mơ tả cấp độ an tồn thơng tin theo Luật an tồn thơng tin


10

Hình 1.1: Các cấp độ an tồn thơng tin

2.4. Một số yêu cầu bảo mật cho Hệ thống thông tin
Bộ tiêu chuẩn FIPS 200 đưa ra các yêu cầu an tồn tối thiểu cho các HTTT về
các tiêu chí: (i) quyền truy cập, kiểm soát; (ii) nhận thức và đào tạo; (iii) đánh giá và
trách nhiệm giải trình; (iv) chứng nhận, công nhận và đánh giá an ninh; (v) quản lý
cấu hình; (vi) lập kế hoạch dự phịng; (vii) nhận dạng và xác thực; (viii) ứng phó sự
cố; (ix) bảo trì; (x) bảo vệ phương tiện; (xi) vật lý và bảo vệ môi trường; (xii) lập kế
hoạch; (xiii) an ninh nhân sự; (xiv) đánh giá rủi ro; (xv) hệ thống và dịch vụ mua lại;
(xvi) bảo vệ hệ thống và thơng tin liên lạc; và (xvii) hệ thống và tồn vẹn thông tin.
Mười bảy yếu tố đại diện cho an tồn thơng tin cân bằng, giải quyết các khía
cạnh quản lý trên diện rộng , vận hành và kỹ thuật của việc bảo vệ thông tin và hệ
thống thông tin.

Quyền truy cập, kiểm soát (AC): Các tổ chức phải hạn chế quyền truy cập hệ
thống thông tin đối với những người dùng, quá trình được ủy quyền thay mặt cho
người dùng được ủy quyền hoặc các thiết bị (bao gồm cả các hệ thống thông tin khác)
và các loại các giao dịch và chức năng mà người dùng được ủy quyền được phép thực
hiện.
Nhận thức và đào tạo (AT): Các tổ chức phải: (i) đảm bảo rằng những người
quản lý và người sử dụng tổ chức hệ thống thông tin được nhận thức về các rủi ro bảo
mật liên quan đến các hoạt động của chúng và luật hiện hành, Lệnh điều hành, chỉ
thị, chính sách, tiêu chuẩn, hướng dẫn, quy định hoặc thủ tục liên quan đến bảo mật
hệ thống thông tin của tổ chức; và (ii) đảm bảo rằng nhân sự tổ chức được đào tạo


11
đầy đủ để thực hiện các nhiệm vụ và trách nhiệm liên quan đến an tồn thơng tin được
giao.
Đánh giá và trách nhiệm giải trình (AU): Các tổ chức phải: (i) tạo, bảo vệ
và duy trì hoạt động kiểm tốn hệ thống thông tin hồ sơ trong phạm vi cần thiết để
cho phép theo dõi, phân tích, điều tra và báo cáo về hoạt động hệ thống thông tin trái
phép, hoặc không phù hợp; và (ii) đảm bảo rằng các hành động của cá nhân người
dùng hệ thống thông tin có thể được truy tìm duy nhất đối với những người dùng đó
để họ có thể chịu trách nhiệm về các hành động.
Chứng nhận, công nhận và đánh giá an ninh (CA): Các tổ chức phải: (i)
định kỳ đánh giá các biện pháp kiểm soát an ninh trong hệ thống thông tin của tổ chức
để xác định xem các biện pháp kiểm sốt đó có hiệu quả trong đơn xin; (ii) phát triển
và thực hiện các kế hoạch hành động được thiết kế để sửa chữa những khiếm khuyết
và giảm thiểu hoặc loại bỏ các lỗ hổng trong hệ thống thông tin của tổ chức; (iii) cho
phép hoạt động của hệ thống thông tin tổ chức và mọi kết nối hệ thống thông tin liên
quan; và (iv) giám sát kiểm sốt an ninh hệ thống thơng tin trên cơ sở liên tục để đảm
bảo tính hiệu quả liên tục của điều khiển.
Quản lý cấu hình (CM): Các tổ chức phải: (i) thiết lập và duy trì các cấu hình

cơ sở và kiểm kê hệ thống thông tin tổ chức (bao gồm phần cứng, phần mềm, chương
trình cơ sở và tài liệu) trong suốt vòng đời phát triển hệ thống tương ứng; và (ii) thiết
lập và thực thi cài đặt cấu hình bảo mật cho các sản phẩm cơng nghệ thơng tin được
sử dụng trong thông tin tổ chức các hệ thống.
Lập kế hoạch dự phòng (CP): Các tổ chức phải thiết lập, duy trì và thực hiện
hiệu quả các kế hoạch ứng phó khẩn cấp, hoạt động dự phịng và phục hồi sau thảm
họa cho hệ thống thông tin của tổ chức để đảm bảo sự sẵn có của các nguồn thơng tin
quan trọng và tính liên tục của các hoạt động trong trường hợp khẩn cấp các tình
huống.
Nhận dạng và Xác thực (IA): Các tổ chức phải xác định những người sử
dụng hệ thống thơng tin, các quy trình thay mặt cho người dùng hoặc thiết bị và xác
thực (hoặc xác minh) danh tính của những người dùng, quy trình hoặc thiết bị, như
một điều kiện tiên quyết để cho phép truy cập vào hệ thống thông tin của tổ chức.
Ứng phó sự cố (IR): Các tổ chức phải: (i) thiết lập khả năng xử lý sự cố hoạt
động cho hệ thống thông tin tổ chức bao gồm chuẩn bị đầy đủ, phát hiện, phân tích,
ngăn chặn, phục hồi và các hoạt động phản hồi của người dùng; và (ii) theo dõi, lập


12
tài liệu và báo cáo các sự cố cho phù hợp các quan chức tổ chức và / hoặc chính
quyền.
Bảo trì (MA): Tổ chức phải: (i) thực hiện bảo trì định kỳ và kịp thời đối với
tổ chức hệ thông thông tin; và (ii) cung cấp các biện pháp kiểm sốt hiệu quả đối với
các cơng cụ, kỹ thuật, cơ chế và nhân sự được sử dụng để tiến hành bảo trì hệ thống
thơng tin.
Bảo vệ phương tiện (MP): Các tổ chức phải: (i) bảo vệ phương tiện hệ thống
thông tin, cả giấy và kỹ thuật số; (ii) hạn chế quyền truy cập thông tin trên các phương
tiện của hệ thống thơng tin đối với người sử dụng có thẩm quyền; và (iii) khử trùng
hoặc phá hủy phương tiện hệ thống thông tin trước khi thải bỏ hoặc phát hành để tái
sử dụng.

Bảo vệ vật lý và môi trường (PE): Các tổ chức phải: (i) hạn chế quyền truy
cập thực tế đối với thông tin hệ thống, thiết bị và môi trường hoạt động tương ứng
cho các cá nhân được ủy quyền; (ii) bảo vệ nhà máy vật lý và cơ sở hạ tầng hỗ trợ
cho hệ thống thông tin; (iii) cung cấp các tiện ích hỗ trợ cho hệ thông thông tin; (iv)
bảo vệ hệ thống thông tin chống lại các hiểm họa môi trường; và (v) cung cấp kiểm
sốt mơi trường thích hợp trong các cơ sở có hệ thống thông tin.
Lập kế hoạch (PL): Các tổ chức phải phát triển, lập tài liệu, cập nhật định kỳ
và thực hiện các kế hoạch bảo mật cho các hệ thống thông tin tổ chức mô tả các biện
pháp kiểm soát an ninh tại chỗ hoặc được lên kế hoạch cho hệ thống thông tin và các
quy tắc ứng xử của các cá nhân truy cập vào hệ thống thông tin.

An ninh nhân sự (PS): Các tổ chức phải: (i) đảm bảo rằng các cá nhân đảm
nhiệm các vị trí của trách nhiệm trong các tổ chức (bao gồm cả các nhà cung cấp dịch
vụ bên thứ ba) đáng tin cậy và đáp ứng các tiêu chí an ninh được thiết lập cho các vị
trí đó; (ii) đảm bảo rằng thông tin tổ chức và thông tin hệ thống được bảo vệ trong và
sau các hành động của nhân viên như chấm dứt và chuyển giao; và (iii) áp dụng các
biện pháp trừng phạt chính thức đối với nhân viên khơng tn thủ các chính sách an
ninh của tổ chức và các thủ tục.
Đánh giá rủi ro (RA): Các tổ chức phải định kỳ đánh giá rủi ro đối với hoạt
động của tổ chức (bao gồm sứ mệnh, chức năng, hình ảnh hoặc danh tiếng), tài sản
tổ chức và cá nhân, kết quả từ hoạt động của hệ thống thông tin tổ chức và quá trình
xử lý, lưu trữ hoặc truyền tải liên quan của thông tin tổ chức.


13
Sát nhập hệ thống và dịch vụ (SA): Các tổ chức phải: (i) phân bổ đủ nguồn
lực để bảo vệ hệ thống thông tin của tổ chức; (ii) sử dụng các quy trình vịng đời phát
triển hệ thống mà kết hợp các cân nhắc về bảo mật thông tin; (iii) áp dụng các hạn
chế về cài đặt và sử dụng phần mềm; và (iv) đảm bảo rằng các nhà cung cấp bên thứ
ba sử dụng các biện pháp bảo mật thích hợp để bảo vệ thơng tin, ứng dụng và / hoặc

dịch vụ thuê ngoài từ tổ chức.
Bảo vệ Hệ thống và Truyền thông (SC): Các tổ chức phải: (i) giám sát, kiểm
sốt và bảo vệ thơng tin liên lạc của tổ chức (tức là thông tin được truyền hoặc nhận
bởi thông tin tổ chức hệ thống) ở ranh giới bên ngồi và ranh giới bên trong chính
của hệ thống thông tin; và (ii) tuyển dụng thiết kế kiến trúc, kỹ thuật phát triển phần
mềm và các nguyên tắc kỹ thuật hệ thống thúc đẩy bảo mật thông tin hiệu quả trong
hệ thống thơng tin của tổ chức.
Tính tồn vẹn của hệ thống và thông tin (SI): Các tổ chức phải: (i) xác định,
báo cáo và chỉnh sửa thông tin và các sai sót của hệ thống thơng tin một cách kịp thời;
(ii) cung cấp sự bảo vệ khỏi mã độc hại khi thích hợp các vị trí trong hệ thống thông
tin của tổ chức; và (iii) giám sát các cảnh báo bảo mật hệ thống thông tin và tư vấn
và thực hiện các hành động thích hợp để đáp ứng.
2.5. Một số nguy cơ đối với hệ thống thông tin
Lỗi và sự bỏ sót, cố tình bỏ qua: Trong quá trình lập trình, trình biên dịch đưa
ra các cảnh báo lỗi và lập trình viên bỏ qua những cảnh báo này, do đó sẽ dẫn đến
những hiện tượng đáng tiếc. Có thể kể đến ở đây một số cảnh báo như tràn đệm, tràn
heap. Người dùng trong quá trình sử dụng có thể vơ tình hoặc cố ý sử dụng các đầu
vào khơng thích hợp dẫn đến chương trình xử lý sai hoặc sẽ bị khai thác. Đối với loại
lỗi này, có thể sử dụng hạn chế quyền truy cập với người sử dụng để phịng tránh,
ngồi ra cần thường xuyên sao lưu dữ liệu.
Lừa đảo và lấy cắp thơng tin: Hành động này thực hiện dưới nhiều hình thức
đánh cắp các thông tin nội bộ, số liệu báo cáo... và chuyển ra ngoài đơn vị. Đối với
nguy cơ này, cần có những thiết chế, chế tài về an ninh, an tồn thơng tin tại đơn vị
giúp các cấp quản lý bảo mật thu thập thơng tin, từ đó có thể điều tra và đưa ra những
kết luận chính xác.
Nguy cơ từ tin tặc (hacker): Trước tiên, tin tặc sẽ thu thập tối đa thông tin về
hệ thống. Những thơng tin đó có thể là: tên ứng dụng, phiên bản ứng dụng, hệ điều
hành, email… Sau đó sử dụng các cơng cụ để qt, tìm lỗ hổng, các lỗ hổng này có
thể được tạo ra thơng qua việc xử lý thông tin, hệ điều hành, hoặc các thành phần liên
quan của hệ thống. Dựa trên các lỗ hổng tìm được, tin tặc sẽ chiếm quyền truy cập



14
vào ứng dụng để cài đặt các phần mềm, mã độc để xâm nhập vào hệ thống trong các
lần tiếp theo. Đối với nguy cơ này, để phòng tránh cần có biện pháp che giấu các
thơng tin quan trọng như thông tin về phiên bản, loại ứng dụng, các thành phần của
ứng dụng... Ngồi ra, có thể sử dụng các phần mềm, ứng dụng phát hiện truy cập trái
phép, cấu hình các biện pháp an ninh như tường lửa, hoặc quản lý truy cập...
Lây lan mã độc: Mã độc là viết tắt của phần mềm độc hại và được sử dụng như
một thuật ngữ duy nhất để chỉ vi rút, phần mềm gián điệp, sâu, v.v. Phần mềm độc
hại là một chương trình được thiết kế để làm hỏng máy tính của người sử dụng (độc
lập hoặc nối mạng), ở đây có thể là vi-rút, worm, trojan...
Tấn cơng từ chối dịch vụ: Tấn công từ chối dịch vụ (DDoS) là tấn cơng nhằm
phá vỡ lưu lượng truy cập bình thường của một máy chủ, dịch vụ hoặc mạng được
nhắm mục tiêu bằng cách áp đảo mục tiêu hoặc cơ sở hạ tầng xung quanh thông qua
một lượng lớn lưu lượng truy cập Internet, thông qua việc sử dụng nhiều hệ thống
máy tính bị xâm nhập làm nguồn lưu lượng tấn cơng. Máy được khai thác có thể bao
gồm máy tính và các tài nguyên nối mạng khác như thiết bị IoT. Giải pháp phòng
chống nguy cơ này, cần tăng cường server phục vụ, phân tải server và bổ sung các cơ
chế phát hiện tấn công từ chối dịch vụ.
Social engineering: Social Engineering được hiểu đơn giản là kỹ thuật tác
động đến con người để đánh cắp thông tin hoặc nhằm đạt được một mục đích mong
muốn. Kỹ thuật này dựa trên điểm yếu tâm lý và nhận thức sai lầm của người dùng
về việc bảo mật thơng tin. Theo đó, tin tặc chú trọng vào việc khai thác các thói quen
tự nhiên của người dùng hơn là việc khai thác các lỗ hổng bảo mật của hệ thống. Cho
đến nay, kỹ thuật tấn công Social Engineering luôn được tin tặc ưu tiên sử dụng. Bởi
hình thức này dễ dàng tùy biến cách thực hiện và khả năng thành công rất cao.
KẾT LUẬN CHƯƠNG I
Trong chương I, luận văn đã trình bày nội dung nghiên cứu về an tồn, bảo
mật thơng tin; tổng quan về hệ thống thông tin, một số yêu cầu cơ bản để đảm bảo an

toàn hệ thống thơng tin, các nguy cơ mất an tồn thơng tin. Các vấn đề về cơ sở dữ
liệu, hệ thống quản lý cơ sở dữ liệu sẽ là nội dung nghiên cứu tại Chương II.


15

CHƯƠNG II
CƠ SỞ DỮ LIỆU, HỆ THỐNG QUẢN LÝ CƠ SỞ DỮ LIỆU,
ỨNG DỤNG WEB
Trong chương II, luận văn sẽ trình bày về cơ sở dữ liệu, hệ thống quản lý cơ
sở dữ liệu, một số nền tảng công nghệ xây dựng hệ thống quản lý cơ sở dữ liệu. Ngồi
ra, trong chương II, cịn trình bày về ứng dụng web, một số vấn đề an tồn thơng tin
ứng dụng web, đây là xu hướng được lựa chọn để phát triển ứng dụng phần mềm
quản lý CSDL hiện nay.

1. Tổng quan về Cơ sở dữ liệu
1.1. Kiến trúc ba lược đồ và dữ liệu độc lập
1.1.1. Kiến trúc ba lược đồ

Hình 2.1: Kiến trúc ba lược đồ
Ba trong bốn đặc điểm quan trọng của phương pháp tiếp cận cơ sở dữ liệu là
(1) sử dụng một danh mục để lưu trữ mô tả cơ sở dữ liệu (lược đồ) để để làm cho nó
tự mơ tả, (2) cách ly các chương trình và dữ liệu (chương trình-dữ liệu và độc lập
hoạt động chương trình), và (3) hỗ trợ nhiều chế độ xem người dùng.


16
Mục tiêu của ba lược đồ kiến trúc , được minh họa trong Hình 2.1, là tách các
ứng dụng người dùng từ cơ sở dữ liệu vật lý. Trong kiến trúc này, ba mức độ xác định
các lược đồ gồm:

Mức nội bộ (Internal Level) có một giản đồ bên trong, mô tả các cấu trúc lưu
trữ của cơ sở dữ liệu. Lược đồ nội bộ sử dụng mơ hình dữ liệu vật lý và mô tả chi tiết
đầy đủ về lưu trữ dữ liệu và đường dẫn truy cập cho kho dữ liệu.
Mức khái niệm (Conceptual Level) có một lược đồ khái niệm, trong đó mơ tả
cấu trúc của tồn bộ cơ sở dữ liệu cho một cộng đồng người dùng. Lược đồ khái niệm
ẩn chi tiết về cấu trúc lưu trữ vật lý và tập trung vào việc mô tả các thực thể, kiểu dữ
liệu, mối quan hệ, hoạt động của người dùng và các ràng buộc. Thông thường, một
đại diện mơ hình dữ liệu được sử dụng để mô tả lược đồ khái niệm khi hệ thống cơ
sở dữ liệu được thực hiện. Lược đồ khái niệm triển khai này là thường dựa trên thiết
kế lược đồ khái niệm trong mơ hình dữ liệu mức cao.
Mức độ bên ngoài (External Level) hoặc chế độ xem bao gồm một số lược đồ
bên ngoài hoặc người dùng lượt xem. Mỗi lược đồ bên ngồi mơ tả một phần của cơ
sở dữ liệu mà một nhóm người dùng quan tâm đến và ẩn phần còn lại của cơ sở dữ
liệu khỏi đó nhóm người dùng. Như ở cấp trước, mỗi giản đồ bên ngồi thường được
triển khai sử dụng mơ hình dữ liệu đại diện, có thể dựa trên thiết kế lược đồ trong mơ
hình dữ liệu khái niệm mức cao.
Kiến trúc ba lược đồ là một công cụ thuận tiện mà người dùng có thể hình
dung các mức lược đồ trong hệ thống cơ sở dữ liệu. Hầu hết các DBMS khơng tách
biệt ba các cấp hồn tồn và rõ ràng, nhưng chúng hỗ trợ kiến trúc ba lược đồ ở một
mức độ nào đó. Một số DBMS cũ hơn có thể bao gồm các chi tiết mức vật lý trong
khái niệm lược đồ. Kiến trúc ANSI ba cấp có một vị trí quan trọng trong phát triển
cơng nghệ cơ sở dữ liệu vì nó phân tách rõ ràng cấp độ bên ngoài của người dùng,
mức khái niệm của cơ sở dữ liệu và mức bộ nhớ trong để thiết kế cơ sở dữ liệu. Nó
được áp dụng rất nhiều trong việc thiết kế các DBMS ngày nay. Trong hầu hết các
DBMS, hỗ trợ chế độ xem của người dùng, các lược đồ bên ngoài được chỉ định trong
cùng một mơ hình dữ liệu mơ tả thơng tin mức cơ bản (ví dụ: một DBMS quan hệ
như Oracle hoặc SQLServer sử dụng SQL cho việc này).

1.1.2. Độc lập dữ liệu
Kiến trúc ba lược đồ có thể được sử dụng để giải thích thêm về khái niệm tính

độc lập dữ liệu, có thể được định nghĩa là khả năng thay đổi lược đồ tại một cấp của