ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

HOÀNG VĂN BIÊN

NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN NINH AN TOÀN
THÔNG TIN CHO CÁC CỔNG/TRANG THÔNG TIN ĐIỆN TỬ

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

HÀ NỘI-2015
1


MỤC LỤC
LỜI CAM ĐOAN .....................................................................................................
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT ...............................................
DANH MỤC CÁC HÌNH ẢNH ...............................................................................
MỞ ĐẦU ..................................................................................................................
Chương 1. TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ CỔNG THÔNG TIN ĐIỆN
TỬ ....................................................................................................................................1
1.1. Khái niệm chung về an toàn an ninh thông tin .....................................................1
1.2. Tình hình an toàn thông tin trên thế giới và Việt Nam.........................................2
1.3. Tổng quan về cổng thông tin điện tử ....................................................................5
1.4. Các lỗi bảo mật phổ biến của ứng dụng web và cách phòng chống .....................8
1.5. Tổng quan về đăng nhập một lần trên cổng thông tin điện tử ............................17
Chương 2. NGHIÊN CỨU CÁC BIỆN PHÁP CƠ BẢN ĐỂ ĐẢM BẢO AN NINH AN
TOÀN THÔNG TIN CHO CÁC CỔNG/TRANG THÔNG TIN ĐIỆN TỬ ...............24
2.1. Xác định cấu trúc ứng dụng web ........................................................................24
2.2. Triển khai hệ thống phòng thủ ............................................................................29
2.2.1. Tổ chức mô hình mạng ..............................................................................30

2.2.2. Thiết lập tường lửa .....................................................................................31
2.2.3. Sử dụng công cụ phát hiện và ngăn chặn xâm nhập (IDS/IPS) .................34
2.2.3.1. Công cụ phát hiện xâm nhập (IDS) .......................................................34
2.2.3.2. Công cụ ngăn chặn xâm nhập (IPS) ......................................................38
2.2.4. Ứng dụng phòng chống vi-rút và bảo vệ máy tính cá nhân .......................40
2.3. Thiết lập và cấu hình hệ thống máy chủ an toàn ................................................41
2.3.1. Thiết lập và cấu hình hệ điều hành máy chủ .............................................41
2.3.2. Thiết lập và cấu hình máy chủ ứng dụng web ...........................................42
2.3.3. Thiết lập và cấu hình máy chủ cơ sở dữ liệu .............................................43
2.4. Thiết lập cơ chế sao lưu phục hồi .......................................................................44
2.4.1. Thiết lập cơ chế sao lưu .............................................................................44
2.4.2. Thiết lập cơ chế phục hồi ...........................................................................45
2.5. Vận hành an toàn ................................................................................................45
2.5.1. Kiểm tra hoạt động ứng dụng web an toàn ................................................45


2.5.2. Một số biện pháp ứng phó với tấn công ....................................................46
2.5.3. Đào tạo đội ngũ nhân lực vận hành hệ thống ............................................46
Chương 3. TẤN CÔNG TỪ CHỐI DỊCH VỤ VÀ MỘT SỐ BIỆN PHÁP PHÒNG
CHỐNG .........................................................................................................................48
3.1. Tấn công từ chối dịch vụ (DoS) .........................................................................48
3.2. Tấn công từ chối dịch vụ phân tán (DDoS) ........................................................50
3.2.1. Các giai đoạn của một cuộc tấn công DDoS .............................................50
3.2.2. Kiến trúc tổng quan của mạng tấn công DDoS .........................................51
3.2.3. Phân loại tấn công DDoS ...........................................................................53
3.2.3.1. Tấn công làm cạn kiệt băng thông hệ thống ..........................................54
3.2.3.2. Tấn công làm cạn kiệt tài nguyên ..........................................................56
3.3. Tấn công từ chối dịch vụ phản xạ nhiều vùng (DRDoS) ...................................57
3.4. Một số biện pháp phòng chống tấn công từ chối dịch vụ ...................................58
Chương 4. TRIỂN KHAI THỬ NGHIỆM ....................................................................63

4.1. Mô hình thử nghiệm ...........................................................................................63
4.2. Cấu hình hệ thống ...............................................................................................64
4.2.1. Cấu hình Apache ........................................................................................67
4.2.2. Cấu hình MySQL .......................................................................................69
4.3. Cài đặt tường lửa ứng dụng web ModSecurity ..................................................69
4.4. Thiết lập hệ thống Snort để phát hiện và ngăn chặn xâm nhập ..........................72
4.5. Đánh giá và khuyến nghị ....................................................................................77
KẾT LUẬN...........................................................................................................78
TÀI LIỆU THAM KHẢO ........................................................................................
PHỤ LỤC 1: THÔNG TIN THAM KHẢO VỀ CÁC TƯỜNG LỬA .....................
PHỤ LỤC 2: TƯỜNG LỬA ỨNG DỤNG WEB ModSecurity ..............................
PHỤ LỤC 3: MỐT SỐ PHẦN MỀM CHỐNG VIRUS VÀ BẢO VỆ MÁY TÍNH


ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

HOÀNG VĂN BIÊN

NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN NINH AN TOÀN THÔNG
TIN CHO CÁC CỔNG/TRANG THÔNG TIN ĐIỆN TỬ

Ngành: Công nghệ thông tin
Chuyên ngành: Truyền dữ liệu và mạng máy tính
Mã số:

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. NGUYỄN VIẾT THẾ


HÀ NỘI-2015


LỜI CAM ĐOAN
Tôi xin cam đoan luận văn không sao chép của ai, những kết quả nghiên cứu được
trình bày trong luận văn là hoàn toàn trung thực, không vi phạm bất cứ điều gì trong luật
sở hữu trí tuệ và pháp luật Việt Nam. Nếu sai, tôi hoàn toàn chịu trách nhiệm trước pháp
luật.


DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT
ATTT: An toàn thông tin
CNTT & TT: Công nghệ thông tin và truyền thông
TT & TT: Thông tin và truyền thông
TTĐT: Thông tin điện tử
IDS: Hệ thống phát hiện xâm nhập
HIDS: Hệ thống phát hiện xâm nhập trên máy
NIDS: Hệ thống phát hiện xâm nhập trên mạng
IPS: Hệ thống ngăn chặn xâm nhập
HIPS: Hệ thống ngăn chặn xâm nhập trên máy
NIPS: Hệ thống ngăn chặn xâm nhập trên mạng
DoS: Tấn công từ chối dịch vụ
DDoS: Tấn công từ chối dịch vụ phân tán
DRDoS: Tấn công từ chối dịch vụ phản xạ nhiều vùng
VNISA: Hiệp hội an toàn thông tin Việt Nam
VNCERT: Trung tâm ứng cứu khẩn cấp máy tính Việt Nam
OWASP: Dự án mở về bảo mật ứng dụng web
SSO: Đăng nhập một lần



DANH MỤC CÁC HÌNH ẢNH
Hình 2.1: Một vài mô hình triển khai ứng dụng web
Hình 2.2: Mô hình 1 lớp
Hình 2.3: Mô hình 2 lớp
Hình 2.4: Mô hình 3 lớp
Hình 2.5: Mô hình N lớp
Hình 2.6: Một số vị trí có thể đặt tường lửa
Hình 2.7: Ví dụ vị trí đặt tường lửa ứng dụng web
Hình 2.8: Một số vị trí thường đặt cảm biến NIDS
Hình 3.1: Mô tả tấn công kiểu Smurf
Hình 3.2: Kiến trúc mạng tấn công kiểu Agent Handler
Hình 3.3: Kiến trúc mạng tấn công kiểu IRC
Hình 3.4: Phân loại tấn công từ chối dịch vụ phân tán
Hình 3.5: Tấn công khuếch đại giao tiếp
Hình 3.6: Tấn công TCP SYN
Hình 3.7: Giả mạo ip để tấn công TCP SYN
Hình 3.8: Tấn công DRDoS
Hình 4.1: Mô hình triển khai thử nghiệm


MỞ ĐẦU
1. Tính cấp thiết của đề tài
Trong những năm gần đây, Công nghệ thông tin và truyền thông (CNTT &TT) có
vai trò lớn đối với sự phát triển của mỗi quốc gia, mỗi doanh nghiệp. Ứng dụng CNTT
&TT cũng có tác động không nhỏ đến đời sống kinh tế, xã hội của đại bộ phận người
dân trên thế giới. CNTT&TT cũng góp phần quan trọng trong vấn đề an ninh và phát
triển bền vững của mỗi quốc gia. Do vậy, ứng dụng CNTT&TT trở thành một phần
không thể thiếu trong chiến lược phát triển của các doanh nghiệp và các quốc gia trên
thế giới.
Với tốc độ phát triển và ứng dụng của CNTT&TT ngày càng nhanh như hiện nay,

hàng ngày có một lượng thông tin lớn được lưu trữ, chuyển tải thông qua các cổng/trang
thông tin điện tử (TTĐT) cũng kéo theo nhiều rủi ro về sự mất an toàn thông tin. Thiệt
hại do mất an ninh an toàn trên các cổng/trang TTĐT đã tăng rất nhanh và sẽ ảnh hưởng
nghiêm trọng đến sự phát triển kinh tế - xã hội, nếu công tác đảm bảo an ninh an toàn
không được triển khai đúng mức. Bởi các kỹ thuật của tội phạm mạng ngày càng cao và
tinh vi hơn, số lượng điểm yếu an ninh ngày càng tăng, số vụ xâm phạm an toàn mạng
ngày càng nhiều.
Tấn công mạng vào các cổng/trang TTĐT ngày càng trở lên nghiêm trọng. Vì vậy,
việc nghiên cứu các giải pháp đảm bảo an ninh an toàn cho các cổng/trang TTĐT là rất
cần thiết. Để đảm bảo các cổng/trang TTĐT hoạt động ổn định, bảo đảm an ninh an toàn
thông tin là việc làm rất cần thiết. Giải quyết vấn đề an ninh an toàn của các cổng/trang
TTĐT là việc làm của cả xã hội và là vấn đề cấp bách.
2. Mục tiêu của đề tài
Nghiên cứu, tìm hiểu các giải pháp đảm bảo an ninh an toàn thông tin cho các
cổng/trang TTĐT. Kết quả có thể được sử dụng làm tài liệu tốt trong việc xây dựng hệ
thống đảm bảo an ninh an toàn cho các cổng/trang TTĐT cho các cơ quan, doanh nghiệp.
3. Phương pháp nghiên cứu
Về lý thuyết: Nghiên cứu những đặc điểm của cổng/trang TTĐT, các lỗ hổng và
các hình thức tấn công nhằm vào cổng/trang TTĐT. Sau đó tìm hiểu, nghiên cứu và áp
dụng các giải pháp để phòng chống tấn công các lỗ hổng, cũng như ngăn chặn các hình
thức tấn công trên cổng/trang TTĐT. Các giải pháp được nghiên cứu, tổng hợp từ nhiều
nguồn khác nhau tùy vào mỗi loại lỗ hổng và mỗi hình thức tấn công mà có những giải
pháp riêng. Từ đó, tổng hợp đưa ra những giải pháp tổng thể giúp đảm bảo an ninh an
toàn cho hệ thống cổng/trang TTĐT.
Về mặt thực nghiệm: Từ những giải pháp đã nghiên cứu, tôi lựa chọn mô hình và
triển khai thử nghiệm một số biện pháp cơ bản, quan trọng nhằm đánh giá một cách
khách quan các giải pháp. Đồng thời, đưa ra các khuyến nghị giúp đảm bảo an ninh an
toàn cho các cổng/trang TTĐT.



4. Nội dung nghiên cứu
Trong luận văn này tôi đi vào nghiên cứu những vấn đề sau:
- Tổng quan về an toàn thông tin, trong đó có các khái niệm cơ bản về an toàn
thông tin, tình hình an toàn thông tin một vài năm gần đây trên thế giới và Việt Nam.
- Tổng quan về cổng TTĐT các đặc điểm của cổng TTĐT. Các dạng lỗi phổ biến
trên ứng dụng web nói chung và cổng/trang TTĐT nói riêng, các kiểu tấn công và cách
phòng chống để đảm bảo an toàn cho cổng TTĐT.
- Cấu trúc triển khai ứng dụng web và đưa ra ưu, nhược điểm của từng mô hình.
Giúp xác định và lựa chọn được mô hình triển khai cổng/trang TTĐT một cách phù hợp.
- Cách tổ chức mô hình mạng hợp lý, đưa ra các mô hình có thể áp dụng vào triển
khai đảm bảo an ninh an toàn cho cổng/trang TTĐT.
- Sử dụng tường lửa để bảo vệ và sử dụng được tường lửa ứng dụng web
mod_security giúp ngăn chặn các loại tấn công phổ biến.
- Sử dụng hệ thống phát hiện và ngăn chặn xâm nhập. Nghiên cứu, triển khai được
hệ thống phát hiện và ngăn chặn xâm nhập snort giúp đảm bảo an toàn cho hệ thống.
- Thiết lập và cấu hình hệ thống máy chủ an toàn cũng như việc sao lưu và phục
hồi dữ liệu.
- Chính sách vận hành an toàn
- Phân tích loại hình tấn công từ chối dịch vụ và các dạng của loại hình tấn công
này. Tìm hiểu những biện pháp phòng chống dạng tấn công này.
- Triển khai một số biện pháp cơ bản đã nghiên cứu trên hệ thống thực, đồng thời
đưa ra những đánh giá và khuyến nghị trong việc thực hiện những giải pháp đảm bảo an
ninh an toàn cho các cổng/trang TTĐT.


Chương 1. TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ CỔNG THÔNG TIN
ĐIỆN TỬ
1.1. Khái niệm chung về an toàn an ninh thông tin
Lĩnh vực an toàn thông tin (ATTT) ngày nay càng được các quốc gia trên toàn thế
giới quan tâm. Hiện nay, có nhiều quan niệm khác nhau về nội hàm của các khái niệm

về trạng thái đảm bảo an toàn thông tin cho hệ thống mạng, như “an toàn, an ninh thông
tin”, “an toàn, an ninh mạng”, “bảo mật mạng máy tính”, bảo mật server, bảo mật ứng
dụng web, v.v... Sau đây là một số khái niệm về thông tin và đảm bảo an toàn thông tin:
Thông tin: là sự phản ánh của tự nhiên và xã hội bằng ngôn từ, ký hiệu, hình ảnh
v.v… hay nói rộng hơn bằng tất cả các phương tiện tác động lên giác quan của con người.
Thông tin được tồn tại ở nhiều dạng: thông tin có thể được khắc trên đá, gỗ, được in hay
viết trên giấy, được lưu trong các thiết bị điện tử (thẻ nhớ, ổ cứng, ổ đĩa, băng từ, v.v…),
thông tin được luân chuyển và chia sẻ trên mạng dưới các dạng khác nhau (do gửi thư
điện tử, đăng trên các trang web, v.v…). Vì vậy việc bảo vệ thông tin khỏi các mối đe
dọa là hết sức cần thiết. Đảm bảo thông tin luôn được sử dụng một cách kịp thời và đáng
tin cậy, đảm bảo được các quyền riêng tư và bản quyền đối với thông tin.
Hệ thống thông tin: là tập hợp các thiết bị viễn thông, công nghệ thông tin bao
gồm phần cứng, phần mềm và cơ sở dữ liệu phục vụ cho hoạt động lưu trữ, xử lý, truyền
đưa, chia sẻ, trao đổi, cung cấp và sử dụng thông tin [6, tr.4].
An toàn thông tin: là sự bảo vệ thông tin và các hệ thống thông tin tránh bị truy
cập sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính
nguyên vẹn, tính bảo mật và tính khả dụng của thông tin [6, tr.4].
An toàn thông tin bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với
hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông
tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và
con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức
năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn thông
tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính
và an toàn mạng [8, tr.2].
An ninh thông tin: là việc bảo đảm thông tin trên mạng không gây phương hại
đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp
của tổ chức, cá nhân [6, tr.4].
Một thông tin cần được bảo vệ đảm bảo an toàn an ninh thông tin luôn đi kèm ba yếu tố
sau: Tính toàn vẹn, tính khả dụng và tính bảo mật.
-


Tính toàn vẹn “Integrity”: là đảm bảo thông tin không bị sửa đổi, hủy bỏ khi không
được phép. Nếu thông tin bị thay đổi thì bên nhận phải phát hiện ra.

-

Tính khả dụng “Availability”: cho phép thông tin được sử dụng một cách kịp thời
và đáng tin cậy.
1


TÀI LIỆU THAM KHẢO
Tiếng Việt
1. Bộ công an (2011), An toàn thông tin và công tác phòng chống tội phạm sử dụng
công nghệ cao, Nhà xuất bản Công an nhân dân, Hà Nội. Tr. 258-266, 286-716.
2. Nguyễn Ngọc Cường (2012), Tin học ứng dụng trong điều tra tội phạm, Nhà xuất
bản Công an nhân dân, Hà Nội. Tr.181-186, 302-315.
3. Tô Nguyễn Nhật Quang, Các kỹ thuật tấn công DoS, DDoS, DRDoS & Botnet.
4. Nguyễn Đức Quỳnh, “Portal là gì? – Cổng thông tin điện tử”, ttvnol.com.
5. Hồ Văn Hương, Đào Thị Ngọc Thùy (2013), “ứng dụng hệ thống kiểm soát truy
nhập mạng theo mô hình truy nhập một lần”, Tạp chí An toàn thông tin.
6. Chính Phủ (2013), Nghị định 72/2013/NĐ-CP của chính phủ về Quản lý, cung
cấp, sử dụng dịch vụ internet và thông tin trên mạng, Hà Nội.
7. Bộ Thông tin và Truyền thông (2011), hướng dẫn đảm bảo an toàn thông tin cho
các cổng/trang thôn tin điện tử, Hà Nội.
8. Chính Phủ (2007), Nghị định 64/2007/NĐ-CP của Chính phủ về Ứng dụng công
nghệ thông tin trong hoạt động của cơ quan nhà nước, Hà Nội.
Tiếng Anh
1. William Stalling, Lawrie Brown (2012), Computer Security Principles and
Practice Second Edition, University of New South Wales, Australian Defence

Force Academy.
2. Stephen Northcutt, Judy Novak (2002), Network Intrusion Detection Third
Edition, America.
3. NIST (2010), Guide to Intrusion Detection and Prevention Systems (IDPS).
4. Ph.D.Wm. Athur Conklin, Ph.D CompTIA ComTIA Security,Principles of
Computer Security CompTIA Security and Beyond Lab Manual Second Edition,
Vincent Nestler CompTIA Security+ Gregory White, CISSP.
5. Issues Concerning The OWASP Top Ten 2013, www.owasp.org.
6. ModSecurity Open Source Web Application Firewall, www.modsecurity.org.
7. Snort, www.snort.org.
8. Andrew R. Baker Brian Caswell Mike Poor (2004), Snort 2.1 Intrusion Detection
Second Edition.
9. Rafeeq Ur Rehman (2003), Intrusion Detection Systems with Snort Advanced IDS
Techniques Using Snort, Apache, MySQL, PHP, and ACID,Prentice Hall PTR
10. Christian Wege (2004), “Portal Server Technology”, IEEE Internet Computing.
11. Stephen Specht and Ruby Lee, Distributed Denial of Service Networks, Attacks,
Tools and Countermeasures, Princeton University.