ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
*********
VŨ THU UYÊN
NGHIÊN CỨU GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG
AN TOÀN THÔNG TIN
LUẬN VĂN THẠC SĨ
Hà Nội – 2011
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
*********
VŨ THU UYÊN
NGHIÊN CỨU GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG
AN TOÀN THÔNG TIN
Ngành: Công nghệ thông tin
Chuyên ngành: Công Nghệ Phần Mềm
LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC: PSG.TS Nguyễn Hữu Ngự
Hà Nội – 2011
1
MỤC LỤC
MỤC LỤC HÌNH 3
MỤC LỤC BẢNG 5
DANH MỤC TÊN VIẾT TẮT 6
MỞ ĐẦU 7
I. Lý do chọn đề tài 7
II. Lịch sử vấn đề 7
III. Mục đích, nhiệm vụ nghiên cứu 8
IV. Phương pháp nghiên cứu 8
CHƯƠNG 1: TỔNG QUAN 9
1.1. Tổng quan về hệ thống thông tin 9
1.1.1. Khái niệm 9
1.1.2. Các thành phần của hệ thống thông tin 9
1.1.3. Các điểm yếu trong hệ thống thông tin 9
1.2. Các vấn đề chung an toàn thông tin 13
1.2.1. An toàn thông tin là gì? 13
1.2.2. Các yêu cầu an toàn thông tin 13
1.2.3. Các phương pháp bảo vệ an toàn thông tin 14
1.2.4. Một số giải pháp khắc phục điểm yếu 14
1.3. Giới thiệu về các tiêu chuẩn đánh giá hệ thống an toàn thông tin 16
1.3.1. Chuẩn an toàn thông tin 16
1.3.2. Các tiêu chuẩn đánh giá an toàn thông tin 17
CHƯƠNG 2: ĐỀ XUẤT GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG AN TOÀN
THÔNG TIN 26
2.1. Tiêu chuẩn chung Common Criteria - CC 26
2.1.1. Khái niệm và mô hình chung của CC 26
2.1.2. Những yêu cầu chức năng an toàn SFR. 36
2.1.3. Những yêu cầu đảm bảo an toàn SAR 42
2.1.4. Những mức đảm bảo đánh giá (EALs) 47
2.1.5. Nội dung chuẩn của PP 49
2.1.6. Lớp đảm bảo đánh giá Hồ sơ bảo vệ APE và yêu cầu của EAL4 53
2
2.2. Phương pháp luận cho đánh giá an toàn - CEM 57
2.2.1. Mối quan hệ CEM và CC 57
2.2.2. Sơ đồ tổng quát cho đánh giá 58
2.2.3. CEM hướng dẫn đánh giá lớp đảm bảo APE 60
CHƯƠNG 3: ỨNG DỤNG GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG AN TOÀN
THÔNG TIN 72
3.1. Áp dụng CC đánh giá thiết bị FIREWALL/VPN của NOKIA sử dụng giải
pháp CHECKPOINT VPN-1/FIREWALL-1 72
3.1.1. Khái quát chung về FireWall/VPN Nokia 72
3.1.2. Áp dụng CC vào đánh giá thiết bị Firewall/VPN của Nokia 76
3.2. Đánh giá hệ thống an toàn thông qua các điểm yếu 124
KẾT LUẬN 131
TÀI LIỆU THAM KHẢO 132
Nghiên cứu giải pháp đánh giá hệ thống an toàn thông tin
Học viên: Vũ Thu Uyên
Đơn vị công tác: khoa Công nghệ thông tin – Trường ĐH
Kinh tế - Kỹ thuật Công nghiệp.
email:
Giáo viên hướng dẫn: PGS.TS Nguyễn Hữu Ngự
Đơn vị công tác: Đại học KHTN – Đại học Quốc gia
Email:
Từ khóa – CC, CEM, TOE, SPATCNTT
I. GIỚI THIỆU BÀI TOÁN
A. Nhu cầu áp dụng CNTT vào đời sống là rất
rộng rãi, cần thiết và quan trọng.
B. Do càng ngày càng xuất hiện nhiều các điểm
yếu, các lỗ hổng trong hệ thống, vì vậy việc đảm
bảo an toàn hệ thống thông tin là yêu cầu hàng
đầu đối với các tổ chức.
C. Việc đánh giá và cấp chứng chỉ an toàn cho
hệ thống đã được nghiên cứu trên thế giới từ lâu.
Tuy nhiên tại Việt Nam vấn đề này tuy đã được
chú ý đến nhưng vẫn còn khá mới mẻ.
II. NỘI DUNG LUẬN VĂN
A. Tổng quan về an toàn thông tin
B. Tiêu chuẩn chung – CC
C. Phương pháp luận cho đánh giá an toàn –
CEM
D. ỨNG DỤNG
1. Áp dụng CC và CEM đánh giá một sản
phẩm An toàn CNTT.
2. Đánh giá hệ thống an toàn thông qua các
điểm yếu.
III. KẾT LUẬN
Luận văn đã đạt được một số kết quả sau:
Nghiên cứu được các tiêu chuẩn để đánh
giá hệ thống an toàn theo chuẩn quốc tế là
ISO 27001, CC, CEM.
Đề xuất giải pháp để đánh giá các thành
phần trong hệ thống, cụ thể là đánh giá các
sản phẩm ATCNTT bằng cách sử dụng CC
và CEM, từ đó có thể áp dụng vào các hệ
thống thực tế.
Đưa ra cách áp dụng CC và CEM đánh
giá một sản phẩm cụ thể.
Các giải pháp để đảm bảo an toàn cho hệ
thống khác nằm ngoài những đánh giá dựa
vào tiêu chuẩn ở trên là sử dụng công cụ
sniffer để phát hiện điểm yếu của hệ thống.
Hướng nghiên cứu tiếp theo
Mở rộng việc đánh giá một số sản phẩm
ATCNTT như: Firewall, cổng thông tin
điện tử, email, CSDL, Đánh giá module mật
mã.
Mở rộng phát triển việc kiểm soát: Lỗ
hổng, nguy cơ mất ANTT, các điểm yếu
của hệ thống
TÀI LIỆU THAM KHẢO
[1]. PGS.TS Trịnh Nhật Tiến (2008), An toàn và an
toàn thông tin, Nhà xuất bản Quốc gia.
[2]. Andrew Hay, Peter Giannoulis, Keli Hay (2009),
Nokia Firewall, VPN, and IPSO Configuration
Guide.
[3]. William Stallings (1998), Cryptography anh
Network Security: Principles and Practice,
Second Edition, Prentice Hall, Upper Saddle
River, New Jersey 07458.
[4].
[5]. http:/www.niap-ccevs.org
[6].
The study measures the evaluation to information safety systems
Student name: VU THU UYEN
Affiliation:Information Technology Department,
University of Economic and Technical Industries
email
Professor name: Prof/Dr. Nguyen Huu Ngu
Affiliation: VNU University of Science
Email:
Keywords – CC. CEM, TOE, SPATCNTT
I. INTRODUCE ABOUT PROBLEM
A. Overview of information security.
B. The general problem of information security.
C. Introduction of standard assessment information
safety system
II. CONTENT OF THE THESIS
A. Overview of information security
B. Common Criteria – CC
C. Common Methodology for Information Security
Evaluation - CEM
D. APPLICATIONS
1. Apply CC evaluated IT products.
2. Evaluation Safety system through
vulnerabilities.
III. CONCLUSION
• Look at the criteria for assessing the safety
system according to international standards as ISO
27001, CC, CEM.
• Propose measures to evaluate the
components in the system, namely the evaluation of
IT products using CC and CEM, which can be
applied to real systems.
• Make the application of CC and CEM
evaluate a particular product.
• Measures to ensure the safety of the system
beyond the standard assessment based on the use of
sniffer tool to detect weaknesses of the system.
Directions for further research:
Expanding the assessment of certain
information safety products as: Firewall, e-
portal, email, database, code assessment
module.
Extended control development: vulnerability
risk of loss of information security, the
system’s weaknesses
REFERENCES
[1]. PGS.TS Trịnh Nhật Tiến (2008), An toàn và an
toàn thông tin, Nhà xuất bản Quốc gia.
[2]. Andrew Hay, Peter Giannoulis, Keli Hay
(2009), Nokia Firewall, VPN, and IPSO
Configuration Guide.
[3]. William Stallings (1998), Cryptography anh
Network Security: Principles and Practice,
Second Edition, Prentice Hall, Upper Saddle
River, New Jersey 07458.
[4].
[5]. http:/www.niap-ccevs.org
[6].