Tải bản đầy đủ (.pdf) (75 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Thạc sĩ - Cao học

Tìm hiểu công cụ đánh giá hệ thống đảm bảo an toàn hệ thống thông tin

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.36 MB, 75 trang )

i

ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CNTT VÀ TRUYỀN THÔNG

LÊ THỊ HẠNH

TÌM HIỂU CÔNG CỤ ĐÁNH GIÁ HỆ THỐNG
ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN

LUẬN VĂN THẠC SĨ: KHOA HỌC MÁY TÍNH

Thái Nguyên, tháng 6 năm 2015

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

ii

ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CNTT VÀ TRUYỀN THÔNG

LÊ THỊ HẠNH

TÌM HIỂU CÔNG CỤ ĐÁNH GIÁ HỆ THỐNG
ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN

Chuyên ngành: Khoa học máy tính
Mã số:
60 48 01



LUẬN VĂN THẠC SĨ: KHOA HỌC MÁY TÍNH

NGƢỜI HƢỚNG DẪN KHOA HỌC: TS HỒ VĂN HƢƠNG

Thái Nguyên, tháng 6 năm 2015

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

iii

LỜI CAM ĐOAN
Tôi xin cam đoan:
1. Những nội dung trong luận văn này là do tôi thực hiện dƣới sự trực tiếp
hƣớng dẫn của thầy giáo TS. Hồ Văn Hƣơng.
2. Mọi tham khảo dùng trong luận văn đều đƣợc trích dẫn rõ ràng tên tác
giả, tên công trình, thời gian, địa điểm công bố.
3. Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, tôi
xin chịu hoàn toàn trách nhiệm.
Thái Nguyên, tháng 5 năm 2015
Học viên

Lê Thị Hạnh

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>


iv

LỜI CẢM ƠN
Tôi xin chân thành cảm ơn trƣờng Đại học Công nghệ thông tin và Truyền thông
– Đại học Thái nguyên, cùng tất cả các thầy giáo, cô giáo đã tận tình giảng dạy và giúp
đỡ tôi trong suốt quá trình học tập, nghiên cứu.
Tôi xin bày tỏ lòng biết ơn sâu sắc đến thầy giáo TS. Hồ Văn Hƣơng, ngƣời đã
trực tiếp hƣớng dẫn và tạo mọi điều kiện thuận lợi giúp đỡ tôi trong quá trình thực hiện
đề tài.
Tôi xin trân trọng cảm ơn Ban lãnh đạo, các đồng nghiệp trƣờng Cao đẳng Y tế
Thanh Hóa đã ủng hộ và dành thời gian để giúp đỡ tôi hoàn thành luận văn này.
Tuy đã có nhiều cố gắng, nhƣng chắc chắn luận văn của tôi còn có rất nhiều thiếu
sót. Rất mong nhận đƣợc sự góp ý của thầy giáo, cô giáo và các bạn đồng nghiệp.
Xin chân thành cám ơn!

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

v

MỤC LỤC
LỜI CAM ĐOAN .............................................................................................................i
LỜI CẢM ƠN .................................................................................................................iv
DANH SÁCH CÁC HÌNH ẢNH ................................................................................. vii
DANH SÁCH CÁC TỪ VIẾT TẮT ........................................................................... viii
MỞ ĐẦU .........................................................................................................................1
ĐẶT VẤN ĐỀ .............................................................................................................1
1.


ĐỐI TƢỢNG VÀ PHẠM VI NGHIÊN CỨU ..................................................1

2.

PHƢƠNG PHÁP NGHIÊN CỨU .....................................................................2

3.
4.

HƢỚNG NGHIÊN CỨU CỦA ĐỀ TÀI ...........................................................2
BỐ CỤC LUẬN VĂN ......................................................................................2

5.
Ý NGHĨA KHOA HỌC CỦA ĐỀ TÀI ............................................................. 3
CHƢƠNG 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN .................4
1.1. Tổng quan về hệ thống thông Tin .....................................................................4
1.1.1 Khái niệm hệ thống thông tin ....................................................................4
1.1.2 Các thành phần cấu thành nên hệ thống thông tin ....................................4
1.1.3 Các nguy cơ mất an toàn thông tin ............................................................ 5
1.2. Hệ thống thông tin an toàn và bảo mật ............................................................. 6
1.2.1. Các đặc trƣng của hệ thống thông tin an toàn và bảo mật ........................6
1.2.2. Các biện pháp đảm bảo an toàn hệ thống thông tin ..................................7
1.3. Một số trang thiết bị đảm bảo an toàn và bảo mật thông tin ............................ 9
1.3.1. An toàn và bảo mật thông tin trên các thiết bị mạng ................................ 9
1.3.2. An toàn và bảo mật thông tin trong truyền dẫn .......................................10
1.4. Thực trạng an toàn thông tin ...........................................................................10
1.4.1. Thực trạng an toàn thông tin ở Việt Nam và trên Thế giới .....................10
1.4.2. Nguy cơ mất an ninh thông tin trên cổng thông tin điện tử ....................12
1.5. Kết luận chƣơng 1 ........................................................................................... 14
CHƢƠNG 2: NGHIÊN CỨU CÁC KỸ THUẬT PHÂN TÍCH, THÂM NHẬP HỆ

THỐNG MẠNG ............................................................................................................15
2.1. Nghiên cứu một số lỗ hổng trong cổng thông tin điện tử ............................... 15
2.1.1. SQL injection .......................................................................................... 15
2.1.2. XSS ..........................................................................................................16
2.1.3. CSRF .......................................................................................................18
2.1.4. Tràn bộ đệm............................................................................................. 20
2.2. Khai thác các công cụ an ninh mạng .............................................................. 21
2.2.1. Công cụ Sniffer-nghe lén ........................................................................21
2.2.2. Công cụ hacking ......................................................................................23
2.2.3. Công cụ quét bảo mật website.................................................................27
2.3. Tìm hiểu mô ̣t số công cu ̣ quét bảo mật website .............................................30

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

vi

2.3.1. Acunetix Web Vulnerability Scanner .....................................................30
2.3.2. Bkav webscan .......................................................................................... 37
2.3.3. IBM Rational AppScan ..........................................................................40
2.4. Kết luận chƣơng 2 ........................................................................................... 41
CHƢƠNG 3: ĐÁNH GIÁ, LỰA CHỌN CÔNG CỤ VÀ TRIỂN KHAI ÁP DỤNG ..42
3.1.
3.2.

Đánh giá công cụ dò quét lỗ hổng website .....................................................42
Đề xuất quy trình triển khai, đánh giá cổng thông tin điện tử ........................45

3.2.1 Mục đích ..................................................................................................46

3.2.2 Phạm vi áp dụng ......................................................................................46
3.2.3 Mô tả quy trình thực hiện ........................................................................46
3.2.4 Đánh giá quy trình ...................................................................................48
3.3. Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử trƣờng Cao đẳng
Y Tế Thanh Hóa sử dụng công cụ Acunetix. ............................................................ 49
3.3.1. Xây dựng kịch bản đánh giá cổng thông tin điện tử. .............................. 49
3.3.2. Thực hiện đánh giá ..................................................................................50
3.3.3. Kết quả đánh giá. .....................................................................................54
3.4. Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử tỉnh Thanh Hóa
sử dụng công cụ Acunetix. ........................................................................................60
3.4.1. Xây dựng kịch bản đánh giá cổng thông tin điện tử ............................... 60
3.4.2. Thực hiện đánh giá ..................................................................................60
3.4.3. Kết quả đánh giá ......................................................................................61
3.4.4. Kết luận chƣơng 3 ........................................................................................... 64
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN ....................................................................65
1.
Kết quả đạt đƣợc. ............................................................................................ 65
2.
Đánh giá chƣơng trình ....................................................................................65
3.
Hƣớng phát triển trong tƣơng lai ....................................................................66
DANH MỤC TÀI LIỆU THAM KHẢO ......................................................................67

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

vii

DANH SÁCH CÁC HÌNH ẢNH

Hình 1.1. Các thành phần của HTTT .............................................................................5
Hình 1.2. Mô hình CIA ...................................................................................................7
Hình 2.1: Quá trình thực hiện XSS ...............................................................................17
Hình 2.2. Sử dụng đĩa Linux Live CD để truy cập các file ...........................................24
Hình 2.3. Phá mật khẩu với Ophcrack...........................................................................26
Hình 2.4. Quá trình sinh ra dữ liệu kiểm thử trong CFG ..............................................29
Hình 2.5. Hệ thống kiểm tra lỗ hổng Bkav WebScan ...................................................37
Hình 3.1. Màn hình chính khi Crawl ............................................................................51
Hình 3.2. Giao diện chính của Acunetix ......................................................................52
Hình 3.3. Thông tin về server ........................................................................................53
Hình 3.4. Giao diện khi đang thực hiện quét .................................................................54
Hình 3.5. Kết quả đánh giá ............................................................................................ 58
Hình 3.6. Báo cáo tổng hợp ........................................................................................... 58
Hình 3.7. Báo cáo chi tiết ............................................................................................. 59
Hình 3.8. Báo cáo lỗi đƣờng dẫn ...................................................................................59
Hình 3.9. Báo cáo kích hoạt mật khẩu...........................................................................59
Hình 3.10. Kết quả đánh giá .........................................................................................61
Hình 3.11. báo cáo tổng hợp.......................................................................................... 61
Hình 3.12. Báo cáo chi tiết ........................................................................................... 62
Hình 3.13. Báo cáo về thông tin ngƣời dùng.................................................................62
Hình 3.14. Báo cáo lỗi đƣờng dẫn .................................................................................62

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

viii

DANH SÁCH CÁC BẢNG
Bảng 3.1. Nội dung quy trình .......................................................................................48

Bảng 3.2. xây dựng kịch bản .........................................................................................50
Bảng 3.3. Kết quả theo kịch bản....................................................................................56
Bảng 3.4. xây dựng kịch bản .........................................................................................60
Bảng 3.5. Kết quả đánh giá theo kịch bản .....................................................................63

DANH SÁCH CÁC TỪ VIẾT TẮT

Từ viết tắt

Nội dung

HTTT

Hệ thống thông tin

ATTT

An toàn thông tin

USB

Universal Serial Bus

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

1

MỞ ĐẦU

ĐẶT VẤN ĐỀ
Vấn đề bảo đảm an toàn cho các hệ thống thông tin (HTTT) là một trong những
vấn đề quan trọng cần cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảo
dƣỡng HTTT. Cũng nhƣ tất cả các hoạt động khác trong đời sống xã hội, từ khi con
ngƣời có nhu cầu lƣu trữ và xử lý thông tin, đặc biệt là từ khi thông tin đƣợc xem nhƣ
một bộ phận của tƣ liệu sản xuất, thì nhu cầu bảo vệ thông tin càng trở nên bức thiết.
Bảo vệ thông tin là bảo vệ tính bí mật của thông tin và tính toàn vẹn của thông tin. Một
số loại thông tin chỉ còn ý nghĩa khi chúng đƣợc giữ kín hoặc giới hạn trong một số
các đối tƣợng nào đó, ví dụ nhƣ thông tin về chiến lƣợc quân sự chẳng hạn. Đây là tính
bí mật của thông tin. Hơn nữa, thông tin không phải luôn đƣợc con ngƣời ghi nhớ do
sự hữu hạn của bộ óc, nên cần phải có thiết bị để lƣu trữ thông tin. Nếu thiết bị lƣu trữ
hoạt động không an toàn, thông tin lƣu trữ trên đó bị mất đi hoặc sai lệch toàn bộ hay
một phần, khi đó tính toàn vẹn của thông tin không còn đƣợc bảo đảm.
Khi máy tính đƣợc sử dụng để xử lý thông tin, hiệu quả xử lý thông tin đƣợc
nâng cao lên, khối lƣợng thông tin đƣợc xử lý càng ngày càng lớn lên, và kéo theo nó,
tầm quan trọng của thông tin trong đời sống xã hội cũng tăng lên. Nếu nhƣ trƣớc đây,
việc bảo vệ thông tin chỉ chú trọng vào vấn đề dùng các cơ chế và phƣơng tiện vật lý
để bảo vệ thông tin theo đúng nghĩa đen của từ này, thì càng về sau, vấn đề bảo vệ
thông tin đã trở nên đa dạng hơn và phức tạp hơn.
Vì vậy, an toàn bảo mật thông tin sẽ là vấn đề rất nóng bỏng. Đây là cuộc đấu
tranh không có hồi kết vì kẻ xấu luôn lợi dụng không gian mạng để rửa tiền, ăn cắp tài
khoản hay thực hiện những mục đích cạnh tranh không lành mạnh. CNTT còn phát
triển thì cuộc đấu tranh bảo đảm an ninh, ATTT sẽ còn tiếp tục và quyết liệt hơn. Vấn
đề là ý thức trách nhiệm của những ngƣời thiết kế hệ thống cũng nhƣ ngƣời sử
dụng. Xuất phát từ thực tế đó luận văn đi sâu vào “Tìm hiểu công cụ đánh giá hệ thống
đảm bảo an toàn hệ thống thông tin”.
1. ĐỐI TƢỢNG VÀ PHẠM VI NGHIÊN CỨU
 Lý thuyết về an toàn và bảo mật hệ thống thông tin

Số hóa bởi Trung tâm Học liệu - ĐHTN


/>

2

 Thực trạng an toàn thông tin ở Việt Nam và Thế giới
 Các kỹ thuật phân tích, thâm nhập hệ thống mạng
 Mô ̣t số công cu ̣ quét bảo mật website.
2. PHƢƠNG PHÁP NGHIÊN CỨU
Sử dụng các phƣơng pháp nghiên cứu chính sau:
 Phƣơng pháp nghiên cứu lý thuyết: Tìm hiểu lý thuyết về an toàn và bảo mật
hệ thống thông tin, các nguy cơ gây mất an toàn thông tin, các biện pháp đảm bảo an
toàn hệ thống thông tin. Nghiên cứu các kỹ thuật phân tích, thâm nhập hệ thống mạng.
 Phƣơng pháp thực nghiệm: Lựa chọn, cài đặt công cụ và thực thi kiểm thử bảo
mật.
 Phƣơng pháp trao đổi khoa học, lấy ý kiến chuyên gia.
3. HƢỚNG NGHIÊN CỨU CỦA ĐỀ TÀI
 Nghiên cứu, tìm hiểu các vấn đề về an toàn hệ thống thông tin.
 Nghiên cứu các kỹ thuật phân tích, thâm nhập hệ thống mạng.
 Đánh giá hệ thống an toàn, bảo mật thông tin từ đó xây dựng và phát triển
công cụ kiểm tra, đánh giá an toàn thông tin.
4. BỐ CỤC LUẬN VĂN
Luận văn đƣợc chia làm 3 chƣơng:
Chƣơng 1: Tổng quan về an toàn và bảo mật thông tin. Chƣơng này chủ yếu trình
bày về các vấn đề chung nhƣ: vai trò nhiệm vụ của HTTT, các yêu cầu của một hệ
truyền thông an toàn và bảo mật, trình bày các nguy cơ mất ATTT và giới thiệu một số
trang thiết bị đảm bảo an toàn và bảo mật thông tin.
Chƣơng 2: Nghiên cứu các kỹ thuật phân tích, thâm nhập hệ thống mạng. Nội
dung chƣơng này chủ yếu tìm hiểu các công cụ an ninh mạng nhƣ đi sâu vào nghiên
cứu, đánh giá ƣu nhƣợc điểm mô ̣t số công cu ̣ quét bảo mật website.


Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

3

Chƣơng 3: Đánh giá, xây dựng công cu .̣ Nội dung chƣơng 3 là đánh giá các công
cụ bảo mật Website nhờ vào việc phân tích ƣu nhƣợc điểm của từng công cụ, tìm ra
đƣợc công cụ tối ƣu nhất để cài đặt và triển khai thực thi kiểm thử bảo mật.
5. Ý NGHĨA KHOA HỌC CỦA ĐỀ TÀI
Giúp ngƣời quản trị Website thấy đƣợc tầm quan trọng của việc bảo vệ hệ thống
thông tin an toàn và bảo mật. Đánh giá lựa chọn đƣợc công cụ tối ƣu nhất để phát hiện
và sửa các lỗ hổng trong cổng thông tin điện tử.

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

4

CHƢƠNG 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN
1.1. Tổng quan về hệ thống thông Tin [2]
1.1.1 Khái niệm hệ thống thông tin
Hệ thống thông tin (HTTT) là một hệ thống sử dụng công nghệ thông tin để thu
thập, truyền, lƣu trữ, xử lý và biểu diễn thông tin trong một hay nhiều quá trình kinh
doanh. HTTT phát triển qua bốn loại hình:
 Hệ xử lý dữ liệu: lƣu trữ và cập nhật dữ liệu hàng ngày, ra các báo cáo theo
định kỳ, ví dụ nhƣ các hệ thống tính lƣơng.
 HTTT quản lý: gồm cơ sở dữ liệu hợp nhất và các dòng thông tin giúp con

ngƣời trong sản xuất, quản lý và ra quyết định.
 Hệ trợ giúp quyết định: hỗ trợ cho việc ra quyết định (cho phép nhà phân tích
ra quyết định chọn các phƣơng án mà không phải thu thập và phân tích dữ liệu).
 Hệ chuyên gia: hỗ trợ nhà quản lý giải quyết các vấn đề và làm quyết định một
cách thông minh.
1.1.2 Các thành phần cấu thành nên hệ thống thông tin
Hệ thống thông tin bao gồm 5 thành phần:
 Các phần cứng: gồm các thiết bị/phƣơng tiện kỹ thuật dùng để xử lý/lƣu trữ
thông tin. Trong đó chủ yếu là máy tính, các thiết bị ngoại vi dùng để lƣu trữ và nhập
vào/xuất ra dữ liệu.
 Phần mềm: gồm các phần mềm hệ thống nhƣ hệ điều hành, phần mềm biên
dịch ngôn ngữ, phần mềm tiện ích, và các phần mềm ứng dụng.
 Các hệ mạng: để truyền dữ liệu.
 Dữ liệu: là nguyên liệu của HTTT đƣợc biểu diễn dƣới nhiều dạng nhƣ văn
bản, truyền khẩu, hình vẽ,... và những vật mang tin nhƣ giấy, bảng từ, đĩa từ...
 Con ngƣời trong HTTT: là ngƣời sử dụng và các chuyên gia về HTTT

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

5

Hình 1.1. Các thành phần của HTTT 1
1.1.3 Các nguy cơ mất an toàn thông tin
Có thể chia các nguy cơ thành 4 nhóm sau đây:
Tiết lộ thông tin hoặc truy xuất thông tin trái phép
Nghe lén, hay đọc lén là một trong những phƣơng thức truy xuất thông tin trái
phép. Các hành vi thuộc phƣơng thức này có thể đơn giản nhƣ việc nghe lén một cuộc
đàm thoại, mở một tập tin trên máy của ngƣời khác, hoặc phức tạp hơn nhƣ xen vào

một kết nối mạng để ăn cắp dữ liệu, hoặc cài các chƣơng trình ghi bàn phím để ghi lại
những thông tin quan trọng đƣợc nhập từ bàn phím.
Phát thông tin sai hoặc chấp nhận thông tin sai
Nhóm nguy cơ phát thông tin sai hoặc chấp nhận thông tin sai bao gồm những
hành vi tƣơng tự nhƣ nhóm ở trên nhƣng mang tính chủ động, tức là có thay đổi thông
tin gốc. Nếu thông tin bị thay đổi là thông tin điều khiển hệ thống thì mức độ thiệt hại
sẽ nghiêm trọng hơn nhiều bởi vì khi đó, hành vi này không chỉ gây ra sai dữ liệu mà

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

6

còn có thể làm thay đổi các chính sách an toàn của hệ thống hoặc ngăn chặn hoạt động
bình thƣờng của hệ thống.
Trong thực tế, hình thức tấn công xen giữa Man-in-the-middle (MITM) là một
dạng của phƣơng thức phát thông tin sai hoặc chấp nhận thông tin sai. Hoạt động của
hình thức tấn công này là xen vào một kết nối mạng, đọc lén thông tin và thay đổi
thông tin đó trƣớc khi gửi đến cho nơi nhận.
Giả danh cũng là một dạng hành vi thuộc nhóm nguy cơ phát thông tin sai hoặc
chấp nhận thông tin sai. Hành vi này thực hiện việc trao đổi thông tin với một đối tác
bằng cách giả danh một thực thể khác.
Phủ nhận hành vi cũng là một phƣơng thức gây sai lệch thông tin. Bằng phƣơng
thức này, một thực thể thực hiện hành vi phát ra thông tin, nhƣng sau đó lại chối bỏ
hành vi này, tức không công nhận nguồn gốc của thông tin, và do đó vi phạm yêu cầu
về tính toàn vẹn của thông tin.
Ngăn chặn hoạt động của hệ thống
Nhóm nguy cơ thứ 3 bao gồm các hành vi có mục đích ngăn chặn hoạt động bình
thƣờng của hệ thống bằng cách làm chậm hoặc gián đoạn dịch vụ của hệ thống. Tấn

công từ chối dịch vụ hoặc virus là những nguy cơ thuộc nhóm này.
Chiếm quyền điều khiển từng phần hoặc toàn bộ hệ thống
Chiếm quyền điều khiển hệ thống gây ra nhiều mức độ thiệt hại khác nhau, từ
việc lấy cắp và thay đổi dữ liệu trên hệ thống, đến việc thay đổi các chính sách bảo
mật và vô hiệu hoá các cơ chế bảo mật đã đƣợc thiết lập.
1.2. Hệ thống thông tin an toàn và bảo mật
1.2.1. Các đặc trƣng của hệ thống thông tin an toàn và bảo mật
Một hệ thống thông tin bảo mật là một hệ thống mà thông tin đƣợc xử lý trên nó
phải đảm bảo đƣợc 3 đặc trƣng sau đây:
 Tính bí mật (Confidentiality).
 Tính toàn vẹn dữ liêụ (Integrity).

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

7

 Tính khả dụng của thông tin (Availability).

Hình 1.2. Mô hình CIA 1
Ba đặc trƣng này đƣợc liên kết lại và xem nhƣ là mô hình tiêu chuẩn của các
HTTT bảo mật, hay nói cách khác, đây là 3 thành phần cốt yếu của một HTTT bảo
mật. Mô hình này đƣợc sử dụng rộng rãi trong nhiều ngữ cảnh và nhiều tài liệu khác
nhau, và đƣợc gọi tắt là mô hình CIA.
1.2.2. Các biện pháp đảm bảo an toàn hệ thống thông tin
An toàn thông tin là việc bảo vệ các thông tin chống lại các rủi ro, mất mát, phá
hủy hay sử dụng không hợp lệ
Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về
điện tử - viễn thông và công nghệ thông tin không ngừng đƣợc phát triển ứng dụng để

nâng cao chất lƣợng và lƣu lƣợng truyền tin thì các quan niệm ý tƣởng và biện pháp
bảo vệ thông tin dữ liệu cũng đƣợc đổi mới. Bảo vệ an toàn thông tin dữ liệu là một
chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều
phƣơng pháp đƣợc thực hiện để bảo vệ an toàn thông tin dữ liệu. Căn cứ vào từng hệ
thống có thể chọn đƣợc các phƣơng pháp cho hiệu quả, các biện pháp bảo vệ an toàn
thông tin dữ liệu có thể đƣợc phân loại nhƣ sau:
Thiết lập quy tắc quản lý.

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

8

Mỗi tổ chức cần có những quy tắc quản lý của riêng mình về bảo mật hệ thống
thông tin. Có thể chia các quy tắc quản lý thành một số phần:
 Quy tắc quản lý đối với hệ thống máy chủ
 Quy tắc quản lý đối với hệ thống máy trạm
 Quy tắc quản lý đối với việc trao đổi thông tin giữa các bộ phận trong hệ
thống, giữa hệ thống máy tính và ngƣời sử dụng, giữa các thành phần của hệ thống và
các tác nhân bên ngoài.
An toàn thiết bị
Lựa chọn các thiết bị lƣu trữ có độ tin cậy cao để đảm bảo an toàn cho dữ liệu.
Phân loại dữ liệu theo các mức độ an toàn khác nhau để có chiến lƣợc mua sắm thiết bị
hoặc xây dựng kế hoạch sao lƣu dữ liệu hợp lý.
Sử dụng các hệ thống cung cấp, phân phối và bảo vệ nguồn điện một cách hợp lý.
Tuân thủ chế độ bảo trì định kỳ đối với các thiết bị.
Thiết lập biện pháp bảo mật
Quy chế bảo mật một hệ thống thể hiện qua quy chế bảo mật trong hệ thống, sự
phân cấp quyền hạn, chức năng của ngƣời sử dụng trong hệ thống đối với dữ liệu và

quy trình kiểm soát công tác quản trị hệ thống. Các biện pháp bảo mật bao gồm:
 Bảo mật vật lý đối với hệ thống. Hình thức bảo mật vật lý khá đa dạng, từ
khóa cứng, hệ thống báo động cho đến hạn chế sử dụng thiết bị.
 Các biện pháp hành chính nhƣ nhận dạng nhân sự khi vào văn phòng, đăng
nhập hệ thống hoặc cấm cài đặt phần mềm, hay sử dụng các phần mềm không phù hợp
với hệ thống.
 Mật khẩu là một biện pháp phổ biến và khá hiệu quả. Tuy nhiên mật khẩu
không phải là biện pháp an toàn tuyệt đối. Mật khẩu vẫn có thể mất cắp sau một thời
gian sử dụng.
 Bảo mật dữ liệu bằng mật mã tức là biến đổi dữ liệu từ dạng nhiều ngƣời dễ
dàng đọc đƣợc, hiểu đƣợc sang dạng khó nhận biết.

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

9

 Xây dựng bức tƣờng lửa, tức là tạo một hệ thống bao gồm phần cứng và phần
mềm đặt giữa hệ thống và môi trƣờng bên ngoài.
1.3. Một số trang thiết bị đảm bảo an toàn và bảo mật thông tin
1.3.1. An toàn và bảo mật thông tin trên các thiết bị mạng
Để hệ thống mạng làm việc trơn tru, hiệu quả và khả năng kết nối tới những hệ
thống mạng khác đòi hỏi phải sử dụng những thiết bị mạng chuyên dụng. Những thiết
bị mạng này rất đa dạng và phong phú về chủng loại nhƣng đều dựa trên những thiết bị
cơ bản là Repeater, Hub, Switch, Router và Gateway…
Hầu hết các hệ thống bảo mật hiện nay đều dựa trên các thiết bị phần cứng nhƣ:
Firewall. IDS, IDP,…. Cấu hình các thiết bị phần cứng này hợp lý và chính xác góp
phần giảm các lỗ hổng cho phép hacker khai thác. Hiểu rõ cấu hình của thiết bị, có thể
đƣa ra cấu hình phù hợp.

Tường lửa – Firewall: là thiết bị phổ biến nhất hiện nay dùng để bảo vệ hệ thống
mạng bên trong chống lại kể xâm nhập bên ngoài. Tƣờng lƣa có các chức năng sau:
 Tƣờng lửa quyết định những ngƣời nào, dịch vụ nào từ bên trong đƣợc phép
truy cập ra bên ngoài và cả những dịch vụ từ bên ngoài đƣợc phép truy cập vào bên
trong.
 Triển khai giám sát các sự kiện an ninh mạng.
 Kiểm soát ngƣời sử dụng và việc truy nhập của ngƣời sử dụng.
 Kiểm soát nội dung thông tin lƣu chuyển trên mạng.
Bộ định tuyến – Router: là thiết bị định tuyến dùng để kiểm tra các gói dữ liệu,
chọn đƣờng nào tốt nhất cho chúng xuyên qua mạng, sau đó dẫn chúng đến các đích
thích hợp.
Hub và Switch: là thiết bị đƣợc thiết kế để kết nối các máy tính lại với nhau. Có
chức năng tái sinh và định thời lại tín hiệu, giúp tín hiệu truyền đi xa hơn mà không bị
nhiễu. So sánh giữa Hub và Switch ta thấy:
 Switch thông minh hơn Hub

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

10

 Switch có tốc độ xử lý nhanh hơn Hub
 Swicth bảo mật tốt hơn Hub. Swicth có khả năng chống lại kỹ thuật tấn công
nghe lén.
Bộ phát sóng Wireless – Access Point: chức năng tƣơng tự nhƣ Hub và Swicth
trong mạng không dây, chuyển tiếp sóng trong mạng không dây
1.3.2. An toàn và bảo mật thông tin trong truyền dẫn
Các phƣơng tiện truyền dẫn là một bộ phận quan trọng cấu thành hệ thống
Netword; nó là phƣơng tiện truyền tải dữ liệu từ nơi náy sang nơi khác; trải dài trên

một phạm vi rộng, môi trƣờng và địa hình phức tạp; mức độ nguy hiểm và kém an
toàn khi truyền cao; các dữ liệu có thể bị nhiễu trong môi trƣờng truyền làm thông tin
bị sai lệch, hoặc hacker tiến hành nghe lén trên đƣờng truyền,…
Giải pháp tăng cƣờng độ an toàn trên đƣờng truyền bằng cách sử dụng cáp STP,
có lớp vỏ bọc bên ngoài giúp chống nhiễu tốt hơn cáp UTP.
Dùng cáp sợi quang truyền tín hiệu dữ liệu dạng số ở trạng thái xung ánh sáng điều
biến. Do xung điện không truyền qua cáp sợi quang nên không thể lắp thiết bị nghe trộm
để đánh cắp dữ liệu. Cáp sợi quang truyền đƣợc khối lƣợng lớn dữ liệu với vận tốc cao
đa tín hiệu không bị suy yếu trong quá trình truyền.
Đối với công nghệ mạng không dây: hầu hết mọi ngƣời đều có thể nghe lén trong
quá trình truyền của hệ thống mạng, do đó cần mã hóa dữ liệu trƣớc khi truyền, ngoài
ra cần xây dựng hệ thống xác định thâm nhập IDS (Intrusion Detection System)
1.4. Thực trạng an toàn thông tin
1.4.1. Thực trạng an toàn thông tin ở Việt Nam và trên Thế giới
Thực trạng an toàn thông tin ở Việt Nam
Thứ trƣởng Bộ TT&TT Nguyễn Minh Hồng đƣa ra nhận định tại Hội thảo
Security World 2015, diễn ra sáng 25/3, tại Hà Nội rằng “Việc bảo đảm an toàn, an
ninh thông tin trên môi trƣờng mạng đang ngày càng trở nên cấp thiết, do nguy cơ mất
an toàn thông tin đang gia tăng cả về số lƣợng lẫn tính chất nghiêm trọng”.

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

11

Thực trạng sử dụng WiFi miễn phí tại Việt Nam: trong năm 2014, nghiên cứu
của Bkav chỉ ra, WiFi miễn phí tại tất cả các thành phố của Việt Nam tiềm ẩn nhiều
nguy cơ mất an ninh an toàn thông tin. Trong khi đó theo kết quả khảo sát, 24% ngƣời
dùng cho biết họ thƣờng xuyên sử dụng mạng WiFi miễn phí để thực hiện các giao

dịch ngân hàng và thanh toán trực tuyến. Điều này rất nguy hiểm bởi ngƣời dùng có
thể bị đánh cắp các thông tin nhạy cảm nhƣ tài khoản, mật khẩu, thông tin thẻ tín
dụng…
An toàn của máy tính cá nhân sử dụng USB: năm 2014 có tới 85% máy tính từng
nhiễm virus lây lan qua USB, nếu so với con số hơn 90% năm 2013, tỉ lệ này dù có
giảm nhƣng vẫn còn ở mức cao. Lý giải điều này, các chuyên gia của Bkav cho biết,
việc Microsoft cắt bỏ tính năng AutoRun đối với USB từ Windows 7 và trên cả
Windows XP phiên bản cập nhật đã giúp giảm đáng kể loại virus này. Tuy nhiên tại
Việt Nam, lƣợng máy tính dùng hệ điều hành Windows XP phiên bản cũ còn tƣơng
đối nhiều, cùng với đó là việc xuất hiện của virus W32.UsbFakeDrive có thể lây lan
bùng phát chỉ với thao tác đơn giản là mở ổ đĩa của ngƣời dùng khiến cho USB vẫn là
nguồn lây nhiễm virus phổ biến.
An toàn thông tin trên điện thoại di động kết nối Internet: ứng dụng giả mạo là
nguồn lây lan mã độc phổ biến nhất trên di động trong năm qua. Nguyên nhân của tình
trạng này là ngƣời sử dụng đang khá "thoải mái" trong cài đặt phần mềm trên điện
thoại. Theo khảo sát, chỉ có 13% ngƣời dùng xem thông tin nhà sản xuất khi quyết
định tải một phần mềm. Do đó, ngƣời dùng chỉ nên tải ứng dụng của nhà phát triển có
uy tín trên các kho phần mềm chính thống để tránh trở thành nạn nhân của ứng dụng
giả mạo.
Các báo cáo đƣợc công bố tại Security World 2015 cho thấy tình hình an toàn, an
ninh mạng tại Việt Nam tiếp tục diễn biến phức tạp, tồn tại nhiều nguy cơ bị tấn công,
phá hoại. Báo cáo của hãng bảo mật Kaspersky và Symantec đều xếp Việt Nam đứng
thứ 3 sau Nga và Ấn Độ về số ngƣời dùng di động bị mã độc tấn công nhiều nhất trên
thế giới, thứ 7 trên thế giới về phát tán tin nhắn rác và đứng thứ 12 trên thế giới về các
hoạt động tấn công mạng.
Thực trạng an toàn thông tin trên Thế giới

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>


12

NEW YORK, NY và FRAMINGHAM, MA, ngày 30 tháng 9 năm 2014 Số
lƣợng các sự cố an toàn thông tin đƣợc báo cáo trên toàn thế giới đã tăng 48% lên đến
42,8 triệu vụ, tƣơng đƣơng 117.339 vụ tấn công mỗi ngày trong năm 2013, theo kết
quả cuộc khảo sát thực trạng an toàn thông tin toàn cầu năm 2015, do PwC phối hợp
với các tạp chí CIO và CSO thực hiện, vừa đƣợc công bố 10/2014. Theo đó, các sự cố
an toàn thông tin đƣợc phát hiện đã tăng 66% mỗi năm kể từ năm 2009.
Cuối tháng 7 năm 2013, tòa án Mỹ đã khởi tố vụ án 160 triệu thẻ tín dụng bị ăn
cắp bởi một nhóm hacker ngƣời Nga trong suốt 7 năm (2005-2012). Nhóm này đã
thực hiện tấn công vào website của một số công ty lớn trong lĩnh vực bán lẻ và cung
cấp dịch vụ tài chính nhƣ Nasdaq, Dow Jones, J.C. Penny, Visa Inc, chuỗi cửa hàng 7Eleven, hệ thống thanh toán Heartland, các ngân hàng Bỉ - Dexia Bank, Carrefour SA
(CA) - nhà bán lẻ lớn nhất của Pháp…
Đầu năm 2013, một báo cáo chi tiết của hãng bảo mật Mandiant - Mỹ đã chỉ ra
dấu vết của các thành viên thuộc nhóm hacker Trung Quốc có liên quan tới một đơn vị
quân đội của nƣớc này. Nhóm hacker này đã lợi dụng lỗ hổng trên hệ thống để cài
phần mềm gián điệp, theo dõi đánh cắp dữ liệu của các công ty, tổ chức lớn tại Mỹ
trong nhiều năm.
Xa hơn, khoảng tháng 10 năm 2010, trang WikiLeaks công bố hàng trăm nghìn
báo cáo chiến trƣờng, video ghi lại cảnh tấn công bằng trực thăng của quân đội Mỹ
trong đó có hình ảnh của những ngƣời dân vô tội bị giết hại... Sự cố lộ lọt thông tin tối
mật lớn nhất trong lịch sử nƣớc Mỹ này bắt đầu từ quân nhân Mỹ Bradley Manning.
Nhiều chuyên gia cho rằng Bradley Manning có thể dễ dàng lấy những thông tin tối
mật là vì các hệ thống chƣa đủ an ninh.
Trên toàn cầu, tổn thất tài chính trung bình từ các sự cố an ninh mạng đã biết
đƣợc ƣớc tính là 2,7 triệu đô la Mỹ, tăng 34% so với năm 2013. Năm 2014, các tổn
thất lớn xảy ra phổ biến hơn khi số lƣợng các doanh nghiệp có báo cáo tổn thất tài
chính vƣợt mức 20 triệu đô la Mỹ đã tăng gần gấp đôi.
1.4.2. Nguy cơ mất an ninh thông tin trên cổng thông tin điện tử


Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

13

Trong thời buổi Internet ngày càng phát triển nhƣ hiện nay, việc liên hệ thƣ từ,
trao đổi thông tin, báo chí... cũng phát triển không ngừng. Thay cho các phƣơng thức
hoạt động truyền thống, việc ứng dụng hiệu quả của Internet đến nhiều lĩnh vực trong
đời sống của con ngƣời đã cho thấy hiệu quả tối ƣu của Internet. Sự thay đổi này đã
lấn sâu vào nhiều lĩnh vực: kinh tế, văn hóa, tôn giáo, chính trị, giải trí.... Phần lớn các
hoạt động này đều thông qua các website, các website nhƣ sợi dây kết nối giữa cộng
đồng mạng với nhau. Sử dụng website mọi ngƣời có thể liên hệ, trao đổi, chia sẽ với
nhau một cách nhanh chóng và hiệu quả. Đặc biệt ngày nay, hình thức thanh toán trực
tuyến thông qua website đang ngày càng trở nên phổ biến. Vì thế, dễ hiểu khi các
website đã trở thành mục tiêu tấn công ƣa thích của tin tặc.
Tại Việt Nam, đại diện mảng an ninh mạng công ty an ninh mạng Bkav, ông Ngô
Tuấn Anh phát biểu: “Trong năm 2013 đã có gần 5.000 hệ thống website của các cơ
quan doanh nghiệp tại Việt Nam bị tin tặc tấn công. Chủ yếu thông qua các lỗ hổng về
mạng và cấu hình hệ thống. So với năm 2012 (có 2.203 website bị tấn công), con số
này đã tăng lên gấp đôi”. Thêm vào đó, một nghiên cứu đƣợc thực hiện trong 7 tháng,
từ tháng 7 năm 2013 đến tháng 2 năm 2014 với 4 lần quét trên hệ thống Bkav
WebScan đã phát hiện 22% website tồn tại lỗ hổng.
Theo báo cáo của Sở Thông tin và Truyền thông TP.HCM, từ đầu năm 2014 đến
nay có đến hơn 2,5 triệu hành vi dò quét, tấn công có mức độ nguy hiểm cao vào cổng
thông tin của TP.HCM. Con số này tăng đến 300% so với năm trƣớc và phần lớn các
cuộc tấn công này có IP từ Trung Quốc. Ngoài ra, cũng phát hiện đến hơn 650.000 mã
độc.
Nhƣng nguy hiểm hơn, theo số liệu của Hiệp hội An toàn thông tin VNISA phía

Nam thì số lƣợng website của các cơ quan nhà nƣớc (.gov.vn) đã bị hack và xâm nhập
là 250, tính trong năm 2014. Lƣu ý, đây mới chỉ là con số công bố công khai. Cũng
theo VNISA, trong khoảng thời gian từ 26/8/2014 đến 17/11/2014 có đến 2.500
website của các cơ quan nhà nƣớc bị tấn công, tức trung bình mỗi ngày có 20 website.
Và đây cũng chỉ là số công khai, con số thực tế cao hơn gấp nhiều lần.
Phần lớn các cổng thông tin, trang thông tin điện tử, hệ thống mạng đƣợc xây
dựng không theo một tiêu chuẩn thống nhất về an ninh thông tin, các phần mềm và

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

14

thiết bị phần cứng không đƣợc nâng cấp, việc cập nhật và vá lỗ hổng bảo mật chƣa
đƣợc chú trọng. Nhiều lỗi bảo mật ở mức nguy hiểm bình thƣờng nhƣng không đƣợc
phát hiện, khắc phục kịp thời dẫn đến gây hậu quả nặng nề. Chính sách phân quyền
ngƣời dùng chƣa đƣợc thiết lập, cho phép truy cập tự do, không mật khẩu, mở nhiều
cổng dịch vụ không cần thiết..., các chuyên gia cảnh báo
1.5. Kết luận chƣơng 1
Chƣơng 1 đã tìm hiểu cơ bản về HTTT và an toàn bảo mật HTTT. Trong chƣơng
này luận văn cũng đã nghiên cứu, đánh giá đƣợc thực trạng vấn đề mất an ninh an toàn
tại Việt Nam cũng nhƣ trên Thế giới, đặc biệt là an ninh trên cổng thông tin điện tử
trong những năm qua. Do đó, thấy đƣợc tính cấp thiết của việc thẩm định, đánh giá
sản phẩm an toàn bảo mật thông tin, cụ thể là cổng thông tin điện tử.

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>


15

CHƢƠNG 2: NGHIÊN CỨU CÁC KỸ THUẬT PHÂN TÍCH, THÂM NHẬP HỆ
THỐNG MẠNG
2.1. Nghiên cứu một số lỗ hổng trong cổng thông tin điện tử
2.1.1. SQL injection
Khái niệm SQL injection
SQL Injection là cách lợi dụng những lỗ hổng trong quá trình lập trình Web về
phần truy xuất cơ sở dữ liệu. Đây không chỉ là khuyết điểm của riêng SQL Server mà
nó còn là vấn đề chung cho toàn bộ các cơ sở dữ liệu khác nhƣ Oracle, MS Access hay
IBM DB2.
Khi hacker gửi những dữ liệu, ứng dụng Web sẽ thực hiện và trả về cho trình
duyệt kết quả câu truy vấn hay những thông báo lỗi có liên quan đến cơ sở dữ liệu. Và
nhờ những thông tin này mà hacker biết đƣợc nội dung cơ sở dữ liệu và từ đó có thể
điều khiển toàn bộ hệ thống ứng dụng.
Các cách tấn công
 Dạng tấn công vƣợt qua trang đăng nhập
 Tấn công dựa vào câu lệnh SELECT
 Tấn công dựa vào câu lệnh kết hợp UNION
 Tấn công dƣa vào lệnh INSERT
 Tấn công dựa vào STORED PROCEDURE
Cách phòng chống
 Trong hầu hết trình duyệt, những kí tự nên đƣợc mã hoá trên địa chỉ URL
trƣớc khi đƣợc sử dụng.
 Việc tấn công theo SQL Injection dựa vào những câu thông báo lỗi thì việc
phòng chống hay nhất vẫn là không cho hiển thị những thông điệp lỗi cho ngƣời dùng
bằng cách thay thế những lỗi thông báo bằng 1 trang do ngƣời phát triển thiết kế mỗi
khi lỗi xảy ra trên ứng dụng.
 Kiểm tra kĩ giá trị nhập vào của ngƣời dùng, thay thế những kí tự nhƣ „ ; v..v..
Số hóa bởi Trung tâm Học liệu - ĐHTN


/>

16

 Hãy loại bỏ các kí tự meta nhƣ “',",/,\,;“ và các kí tự extend nhƣ NULL, CR,
LF,...trong các string nhận đƣợc từ:
- Dữ liệu nhập do ngƣời dùng đệ trình.
- Các tham số từ URL.
- Các giá trị từ cookie.
 Đối với các giá trị numeric, hãy chuyển nó sang integer trƣớc khi thực hiện
câu truy vấn SQL, hoặc dùng ISNUMERIC để chắc chắn nó là một số integer.
 Dùng thuật toán để mã hoá dữ liệu.
 Sử dụng cơ sở dữ liệu hợp lệ khác nhau cho mục đích sử dụng khác nhau.
2.1.2. XSS
Kỹ thuật tấn công cross site scripting (xss)
Phƣơng pháp Cross Site Scripting (đƣợc viết tắt là XSS) là phƣơng pháp tấn công
bằng cách chèn thêm những đoạn mã có khả năng đánh cắp hay thiết lập đƣợc những
thông tin quan trọng nhƣ cookies, mật khẩu,… vào mã nguồn ứng dụng web để từ đó
chúng đƣợc chạy nhƣ là một phần của ứng dụng Web và có chức năng cung cấp hoặc
thực hiện những những điều hacker muốn.
Phƣơng pháp này không nhằm vào máy chủ hệ thống mà chủ yếu tấn công trên
chính máy ngƣời sử dụng. Hacker sẽ lợi dụng sự kiểm tra lỏng lẻo từ ứng dụng và hiểu
biết hạn chế của ngƣời dùng cũng nhƣ biết đánh vào sự tò mò của họ dẫn đến ngƣời
dùng bị mất thông tin một cách dễ dàng.
Thông thƣờng hacker lợi dụng địa chỉ URL để đƣa ra những liên kết là tác nhân
kích hoạt những đoạn chƣơng trình đƣợc viết bằng ngôn ngữ máy khách nhƣ
VBScript, JavaScript…đƣợc thực thi trên chính trình duyệt của nạn nhân.
Các bƣớc thực hiện XSS truyền thống:


Số hóa bởi Trung tâm Học liệu - ĐHTN

/>

17

Hình 2.1: Quá trình thực hiện XSS 1
Tóm tắt các bƣớc thực hiện:
 Bƣớc 1: hacker biết đƣợc ngƣời dùng đang sử dụng một ứng dụng Web có lỗ
hổng XSS.
 Bƣớc 2: ngƣời dùng nhận đƣợc 1 liên kết thông qua email hay trên chính trang
Web (nhƣ trên guestbook, banner dễ dàng thêm 1 liên kết do chính hacker tạo ra…).
Thông thƣờng hacker khiến ngƣời dùng chú ý bằng những câu kích thích sự tò mò của
ngƣời dùng nhƣ “ Kiểm tra tài khoản”, “Một phần thƣởng hấp dẫn đang chờ bạn”, ….
 Bƣớc 3: chuyển nội dung thông tin (cookie, tên, mật khẩu…) về máy chủ của
hacker.
 Bƣớc 4: hacker tạo một chƣơng trình cgi (ở ví dụ bên dƣới là steal.cgi) hoặc
một trang Web để ghi nhận những thông tin đã đánh cắp vào 1 tập tin
 Bƣớc 5: sau khi nhận đƣợc thông tin cần thiết, hacker có thể sử dụng để thâm
nhập vào tài khoản của ngƣời dùng.
Cách phòng chống
Với những dữ liệu, thông tin nhập của ngƣời dùng, ngƣời thiết kế ứng dụng Web
cần phải thực hiện vài bƣớc cơ bản sau:
 Tạo ra danh sách những thẻ HTML đƣợc phép sử dụng.

Số hóa bởi Trung tâm Học liệu - ĐHTN

/>


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×