Tải bản đầy đủ (.pdf) (29 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

Đảm bảo an toàn thông tin cho hệ thống e learning trường đại học đại nam (tóm tắt luận văn ngành hệ thống thông tin)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.08 MB, 29 trang )

HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG
---------------------------------------

NGƠ NGỌC GIANG
ĐẢM BẢO AN TỒN THƠNG TIN CHO HỆ THỐNG E-LEARNING
TRƢỜNG ĐẠI HỌC ĐẠI NAM

CHUN NGÀNH :
MÃ SỐ

:

HỆ THỐNG THƠNG TIN
8480104

TĨM TẮT LUẬN VĂN THẠC SỸ KỸ THUẬT

NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. ĐỖ XUÂN CHỢ

HÀ NỘI - 2017


Luận văn được hồn thành tại:
HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG

Người hướng dẫn khoa học: TS. ĐỖ XN CHỢ

Phản biện 1: …………………………………………………………
Phản biện 2: ………………………………………………………..

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học


viện Cơng nghệ Bưu chính Viễn thơng
Vào lúc: ....... giờ ....... ngày ....... tháng ....... .. năm ...............

Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Cơng nghệ Bưu chính Viễn thơng


1

MỞ ĐẦU
1. Lý do chọn đề tài.
Chương trình ứng dụng cơng nghệ thơng tin (CNTT) nhằm hiện đại hóa q
trình giảng dạy và lưu trữ thông tin của Bộ giáo dục và đạo tạo đã mang lại những kết
quả rất lớn và đặc biệt tiện ích cho sinh viên. Một trong những ứng dụng của CNTT
đang được triển khai nhiều hiện nay chính là Hệ thống đào tạo trực tuyến E-learning.
Hệ thống đào tạo trực tuyến E-learning đã tạo cầu nối giao tiếp nhanh chóng và thuận
tiện cho nhà trường, học sinh và các phụ huynh. Hệ thống này đã được ứng dụng và
triển khai ở nhiều nước trên thế giới. Tuy nhiên, tại Việt Nam ứng dụng này còn
tương đối mới mẻ và lạ lẫm. Một số kết luận đánh giá về hiệu quả của hệ thống thông
tin đã chỉ ra rằng: Hệ thống đào tạo trực tuyến E-learning là hệ thống thông tin hiện
đại, mang lại những tiện ích lớn và thiết thực cho người học. Tuy nhiên, bên cạnh
những lợi ích hiện hữu đó thì Hệ thống đào tạo trực tuyến E-learning vẫn còn một số
bất cập mang lại những rủi ro cao nếu không biết cách sử dụng và quản lý. Một trong
những rủi ro đang được nhắc đến nhiều hiện nay chính là các nguy cơ mất an tồn
thơng tin cho dữ liệu trong Hệ thống đào tạo trực tuyến E-learning. Có nhiều lý do
khách quan và chủ quan dẫn đến tình trạng mất an tồn thơng tin cho các dữ liệu
trong hệ thống cũng như các kỹ thuật tấn công mặc dù đã biết nhưng vẫn bị xem nhẹ.
Trường Đại học Đại Nam là một trong những trường đại học đi đầu trong cả
nước về vấn đề ứng dụng CNTT trong công tác giảng dạy và học tập. Hệ thống đào
tạo trực tuyến E-learning của trường đang được nghiên cứu và triển khai trong thực

tế. Tuy nhiên, cũng như các ứng dụng CNTT khác, hệ thống thông đào tạo trực tuyến
E-learning của nhà trường từ lúc xây dựng đến lúc đi vào hoạt động thì chủ yếu coi
trọng đến các chức năng của hệ thống chứ chưa có những đánh giá về mức độ an tồn
thơng tin của hệ thống. Chính vì vậy, nếu tấn công mạng khai thác thành công các lỗ
hổng tiềm ẩn trong hệ thống thì chắc chắn rủi ro sẽ rất lớn. Từ những lý do trên, học
viên với sự giúp đỡ của TS. Đỗ Xuân Chợ lựa chọn đề tài: “Đảm bảo an tồn thơng
tin cho hệ thống E-learning trường Đại học Đại Nam”.
2. Tổng quan vấn đề cần nghiên cứu
E-learning (viết tắt của Electronic Learning), E-learning là một thuật ngữ dùng
để mô tả việc học tập và đào tạo dựa trên CNTT và truyền thơng. E-learning là hình
thức học trực tuyến rất phổ biến ở các nước có nền công nghệ phát triển, với nhiều
môn học cũng như trung tâm đào tạo. Đây là phương pháp học có chi phí thấp, khả
năng đem lại cơ hội học tập bình đẳng cho tất cả mọi người ở bất kỳ địa điểm nào.
Hiện nay, có nhiều lựa chọn về giải pháp và công nghệ để xây dựng hệ thống đào tạo
trực tuyến E-learning. Mỗi giải pháp và công nghệ đều có những ưu điểm và nhược


2

điểm nhất định. Chính vì vậy, khi lựa chọn giải pháp cho hệ thống đào tạo trực tuyến
E-learning thì cần lưu ý đến vấn đề nhu cầu cũng như quy mô đào tạo dạy và học của
từng đơn vị. Trong khuôn khổ của luận văn, học viên sẽ nghiên cứu và trình bày về
mơ hình cũng như các thành phần trong hệ thống đào tạo trực tuyến E-learning của
trường Đại học Đại Nam.
Do đặc điểm của hệ thống đào tạo trực tuyến E-learning có thể có một số lượng
lớn người truy cập như khách vãng lai, sinh viên, giảng viên hay quản trị viên. Chính
vì vậy, việc quản lý thơng tin cũng như đảm bảo các tính chất an tồn thơng tin đối
với hệ thống là điều khó khăn. Kẻ tấn cơng có thể tấn cơng vào hệ thống để ngăn cản
người dùng truy cập, cũng như có thể đánh cắp hoặc sửa các kết quả thi.
Từ những mối nguy hại mà cuộc tấn công đã, đang và sẽ gây nên thì vấn đề

phịng chống cuộc tấn cơng này vào hệ thống đào tạo trực tuyến E-learning là vấn đề
vô cùng quan trọng và cấp thiết hiện nay. Phương pháp phịng chống tấn cơng lên hệ
thống đào tạo trực tuyến E-learning dựa trên phương diện là quản lý rủi ro, cơng nghệ
và phương diện con người.
3. Mục đích nghiên cứu
• Tìm hiểu về hệ thống đào tạo trực tuyến E-learning: Cơng nghệ, kỹ thuật, thành
phần.
• Tìm hiểu các nguy cơ mất an tồn thơng tin trong hệ thống đào tạo trực tuyến Elearning.
• Áp dụng các biện pháp, kỹ thuật đảm bảo an tồn thơng tin cho hệ thống đào tạo
trực tuyến E-learning.
4. Đối tƣợng và phạm vi nghiên cứu
• Đối tượng nghiên cứu: Hệ thống đào tạo trực tuyến E-learning và các kỹ thuật
tấn cơng lên hệ thống.
• Phạm vi nghiên cứu: Các kỹ thuật, công cụ để tấn công lên hệ thống đào tạo trực
tuyến E-learning và các biện pháp đảm bảo an tồn thơng tin.
5. Phƣơng pháp nghiên cứu
Dựa trên cơ sở lý thuyết của hệ thống đào tạo trực tuyến E-learning và các nguy
cơ mất an tồn thơng tin; các giải pháp cơng nghệ an tồn cho hệ thống thông tin.
II. NỘI DUNG
Với mục tiêu đặt ra như vậy nội dung và kết quả của luận văn được trình bày
qua ba chương như sau:
Chƣơng 1, trình bày tổng quan về hệ thống đào tạo trực tuyến E-learning và
hiện trạng phát triển hệ thống đào tạo trực tuyến E-learning trên thế giới và tại Việt


3

Nam. Bên cạnh đó, trong chương này, luận văn sẽ trình bày tổng quan về hệ thống
đào tạo trực tuyến E-learning đang được triển khai tại trường Đại học Đại Nam.
Chƣơng 2, luận văn trình bày về các nguy cơ, điểm yếu, mối đe dọa đối với hệ

thống đào tạo trực truyến E-learning. Bên cạnh đó luận văn sẽ trình bày các phương
pháp nhằm đánh giá, đảm bảo an toàn thông tin cho hệ thống đào tạo trực truyến Elearning dựa trên phương diện là quản lý rủi ro, con người, cơng nghệ. Trong đó luận
văn sẽ tập trung đi sâu nghiên cứu vào phương diện công nghệ nhằm đánh giá, đảm
bảo an tồn thơng tin cho hệ thống đào tạo trực truyến E-learning.
Chƣơng 3, luận văn sẽ thực hiện đánh giá mức độ an toàn của hệ thống đào tạo
trực tuyến E-learning bằng cách sử dụng các công cụ để tìm kiếm các lỗ hổng, điểm
yếu, mối đe dọa và thực hiện tấn công vào hệ thống thông qua việc khai thác các mối
đe dọa vừa tìm kiếm được.


4

CHƢƠNG 1: GIỚI THIỆU VỀ HỆ THỐNG E-LEARNING TRƢỜNG ĐẠI
HỌC ĐẠI NAM
1.1. Tổng quan về E-learning
1.1.1. Giới thiệu chung
Đào tạo trực tuyến hay còn gọi là E-Learning (Electronic Learning) là một
thuật ngữ dùng để mô tả việc học tập và đào tạo dựa trên CNTT và truyền thơng.
Cũng có thể hiểu E-Learning là sự phân phát nội dung học sử dụng các cơng cụ điện
tử hiện đại như máy tính, mạng máy tính, mạng vệ tinh, mạng Internet, Intranet…
trong đó nội dung học có thể thu được từ các Website, đĩa CD, băng video, audio…
thơng qua một máy tính hay TV; người dạy và học có thể giao tiếp với nhau qua
mạng dưới các hình thức như: e-mail, thảo luận trực tuyến (chat), diễn đàn (forum),
hội thảo, video... [5, 6, 8, 9]
Kiến trúc của một hệ thống E-Learning: hệ thống E-Learning sẽ phải tương tác
tốt với các hệ thống khác trong trường học như hệ thống quản lý sinh viên, hệ thống
quản lý giảng viên, lịch giảng dạy… cũng như các hệ thống của doanh nghiệp như là
ERP, HR.
Một số loại hình đào tạo của E-Learning: Đào tạo dựa trên công nghệ (TBT Technology - Based Training ); Đào tạo dựa trên máy tính (CBT - Computer - Based
Training); Đào tạo dựạ trên Web (WBT - Web - Based Training); Đào tạo trực tuyến

(Online Learning/Training); Đào tạo từ xa (Distance Learning).
1.1.2. Hiện trạng phát triển và sử dụng E-learning trên thế giới
Tại Mỹ: Khoảng 80% trường ĐH sử dụng phương pháp đào tạo trực tuyến, có
khoảng 35% các chứng chỉ trực tuyến được chính thức cơng nhận; tại Singapore:
Khoảng 87% trường Đại học sử dụng phương pháp đào tạo trực tuyến; tính đến năm
2005, tại Hàn Quốc đã có 9 trường Đại học trực tuyến trên mạng. Hiện nay có nhiều
công ty lớn đầu tư vào E-learning, nổi bật là các công ty như SAP, Click2Learn,
Docent, Saba, IBM, Oracle, NTT, NEC. [5, 6, 8, 9]
1.1.3. Hiện trạng phát triển và sử dụng E-learning tại Việt Nam
Trong thời gian từ năm 2006, E-learning đã có nhiều khởi sắc, một phần là
được sự quan tâm của chính phủ, một phần là sự nỗ lực của các doanh nghiệp CNTT
nghiên cứu E-learning để đẩy mạnh nền giáo dục nước nhà. Điển hình năm 2007,
trong cuộc thi danh giá của ngành CNTT – “Nhân tài đất Việt” do Bộ Giáo dục và
Đào tạo, Bộ Khoa học và Công nghệ, Bộ Thông tin và Truyền thông đồng tổ chức đã
trao tặng giải Nhất cho giải pháp về E-learning. Với giải pháp này, đã triển khai thành
công cho một số Bộ, Ngành, Tổng công ty lớn và các trường Đại học. Cho đến nay, ở
Việt Nam có nhiều cơ sở giáo dục đào tạo bắt đầu triển khai đào tạo E-learning. Tùy
theo mức độ ứng dụng CNTT truyền thông trong đào tạo, mức độ đầu tư về học liệu


5

điện tử và mục đích đào tạo mà việc triển khai đào tạo E-learning ở mỗi cơ sở đào tạo
hiện nay có sự khác nhau. Các cơ sở đào tạo phần lớn triển khai E-learning để đào tạo
các khóa ngắn hạn hay để hỗ trợ cho hệ đào tạo chính qui. Các đơn vị thực hiện theo
mơ hình hỗ trợ cho hệ đào tạo chính qui chủ yếu đáp ứng nhu cầu theo dõi học liệu
của sinh viên. Trong số các cơ sở đào tạo E-learning ở Việt Nam, có thể nói Đại học
Đại Nam là một trong những trường ngồi cơng lập rất chú trọng trong việc xây
dựng, phát triển hệ thống công nghệ E-learning, hiện nhà trường đã triển khai xây
dựng bộ học liệu điện tử cho nhiều ngành, đã triển khai nhiều khóa đào tạo đại học

ứng dụng E-learning tồn phần với các khóa học có mức độ tương tác cao hiện nay.
[5, 6, 8, 9]
1.1.4. Đánh giá ƣu nhƣợc điểm của E-learning
a) Ƣu điểm [5, 6, 8, 9]:
- Đối với nội dung học tập: Nội dung học tập được phân chia thành các đối
tượng tri thức riêng biệt theo từng lĩnh vực, ngành nghề rõ ràng. Điều này
tạo ra tính mềm dẻo cao hơn, giúp cho sinh viên có thể chọn lựa những
khóa học phù hợp với nhu cầu học tập của mình. Sinh viên có thể tự tạo cho
mình những kế hoạch học tập, thực hành, hay sử dụng các phương tiện tìm
kiếm để tìm ra các chủ đề theo yêu cầu. nội dung môn học được cập nhật,
phân phối dễ dàng, nhanh chóng. Tất cả sinh viên sẽ có được phiên bản mới
nhất trên máy tính trong lần truy cập sau.
- Đối với giảng viên: E-learning cho phép dữ liệu được tự động lưu lại trên
máy chủ, thơng tin này có thể được thay đổi về phía người truy cập vào
khóa học. Giảng viên có thể theo dõi sinh viên dễ dàng đồng thời cũng có
thể đánh giá sinh viên thơng qua cách trả lời các câu hỏi kiểm tra và thời
gian trả lời các câu hỏi đó. Điều này giúp cho giảng viên đánh giá công
bằng lực học của mỗi sinh viên
- Đối với việc đào tạo chung: E-learning giúp giảm chi phí học tập: Bằng
việc sử dụng các giải pháp học tập qua mạng, nhà trường có thể giảm được
các chi phí học tập như tiền lương phải trả cho giảng viên, tiền th phịng
học, chi phí đi lại, ăn ở của sinh viên. E-learning giúp làm giảm tổng thời
gian cần thiết cho việc học. Giảng viên và sinh viên có thể truy cập vào
khóa học ở bất cứ chỗ nào, trong bất kỳ thời điểm nào mà không nhất thiết
phải trùng nhau.
b) Nhƣợc điểm [5, 6, 8, 9]:
- Chi phí triển khai: Việc triển khai hệ thống E-learning cần có những chi phí
lớn, mặt khác nó cũng có những rủi ro nhất định. Ngồi ra, cần phải xem
xét cơng nghệ hiện thời có đáp ứng được các mục đích đào tạo hay không,



6

chi phí đầu tư cho cơng nghệ đó có hợp lý khơng. , khả năng làm việc tương
thích giữa các hệ thống phần cứng và phần mềm cũng cần được xem xét
- Khó khăn trong việc tiếp cận các cơng nghệ mới; môi trường học tập phân
tán.
1.2. Lựa chọn công nghệ áp dụng vào E-learning
1.2.1. Một số hình thức E-learning [5, 6, 8, 9]:
- Đào tạo dựa trên công nghệ (TBT - Technology-Based Training) là hình thức
đào tạo có sự áp dụng công nghệ, đặc biệt là dựa trên CNTT.
- Đào tạo dựa trên máy tính (CBT - Computer-Based Training): bất kỳ một hình
thức đào tạo nào có sử dụng máy tính.
- Đào tạo dựa trên web (WBT - Web-Based Training): là hình thức đào tạo sử
dụng cơng nghệ web. Nội dung học, các thơng tin quản lý khố học, thông tin về
người học được lưu trữ trên máy chủ và người dùng có thể dễ dàng truy nhập thơng
qua trình duyệt Web. Người học có thể giao tiếp với nhau và với giảng viên, sử dụng
các chức năng trao đổi trực tiếp, diễn đàn, e-mail... thậm chí có thể nghe được giọng
nói và nhìn thấy hình ảnh của người giao tiếp với mình.
- Đào tạo trực tuyến (Online Learning/Training): là hình thức đào tạo có sử dụng
kết nối mạng để thực hiện việc học: lấy tài liệu học, giao tiếp giữa người học với
nhau và với giảng viên...
- Đào tạo từ xa (Distance Learning): là hình thức đào tạo trong đó người dạy và
người học khơng ở cùng một chỗ, thậm chí khơng cùng một thời điểm. Ví dụ như
việc đào tạo sử dụng công nghệ hội thảo cầu truyền hình hoặc cơng nghệ web.


7

1.2.2. Giải pháp Vlearning

Moodle (Modular Object-Oriented Dynamic Learning Environment) là môi
trường học tập theo phân đoạn, hướng đối tượng và năng động. Moodle được sáng
lập năm 1999 bởi Martin Dougiamas. Vlearning về bản chất là gói phần mềm thiết kế
để giúp các nhà giáo dục tạo các khóa học trực tuyến có chất lượng. Trong tương lai,
Vlearning được phát triển trên nền hệ thống Moodle và được tích hợp đầy đủ các tính
năng của Moodle đã được cộng đồng phát triển. Tuy nhiên, sản phẩm Vlearning phát
triển dựa trên các yêu cầu thực tế nhằm phù hợp với môi trương phát triển giáo dục
tại Việt Nam.
Một bước quan trọng mà mỗi tổ chức muốn triển khai E-learning cần thực hiện
trước khi lựa chọn giải pháp là việc xác định được nhu cầu của tất cả các đối tượng
tham gia quá trình học tập, từ học viên, giảng viên cho đến các chuyên viên quản lý
đào tạo, chuyên viên xây dựng chương trình. Dựa vào những nhu cầu này, và tùy theo
khả năng tài chính, mơ hình kinh doanh của từng đơn vị mà họ sẽ có những lựa chọn
giải pháp hợp lý cho mình. Giải pháp xây dựng hệ thống dựa trên phần mềm nguồn
mở là một giải pháp khá tối ưu, giúp các đơn vị triển khai có hiệu quả và phù hợp với
yêu cầu đặc thù cho từng nội dung đào tạo mà vẫn dễ dàng phát triển, nâng cấp hệ
thống trong tương lai.
1.3. Ứng dụng Moodle trong hệ thống giáo dục trực tuyến
1.3.1. Hiện trạng sử dụng Moodle trên thế giới và Việt nam
Cộng đồng Moodle Việt Nam được thành lập tháng 3 năm 2005 với mục đích
xây dựng phiên bản tiếng Việt và hỗ trợ các trường triển khai Moodle. Từ đó đến
nay, nhiều trường đại học, tổ chức và cá nhân ở Việt Nam đã dùng Moodle. Có thể
nói Moodle là một trong các LMS thông dụng nhất tại Việt Nam. Cộng đồng Moodle
Việt Nam giúp bạn giải quyết các khó khăn về cài đặt, cách dùng các tính năng, cũng
như cách chỉnh sửa và phát triển. Và cộng đồng Moodle Việt Nam được xây dựng
bằng chính các cơng cụ của Moodle. [5, 6, 8, 9]
1.3.2. Lựa chọn sử dụng Moodle
Hiện nay, rất nhiều đơn vị giáo dục lựa chọn công nghệ Moodle để xây dựng và
phát triển hệ thống E-learning. Công nghệ Moodle được lựa chọn như một giải phát
tối ưu nhât vì:

- Moodle là phần mềm mã nguồn mở sẽ giúp giảm bớt chi phí cho q trình xây
dựng và phát triển hệ thống.
- Moodle rất dễ dùng với giao diện trực quan, giảng viên chỉ cần một thời gian
ngắn để làm quen và có thể sử dụng thành thạo Moodle.
- Tài liệu hỗ trợ của Moodle rất đồ sộ và chi tiết, điều này hỗ trợ người dùng và
tổ chức có thể nhanh chóng tiếp cần là làm chủ được cơng nghệ


8

- Công nghệ tốt hơn so với sản phẩm khác.
- Moodle cung cấp các tính năng hướng tới giáo dục vì chúng được xây dựng
bởi những người làm trong lĩnh vực giáo dục.
- Moodle có một cộng đồng lớn như vậy, phần mềm được dịch ra 96 ngôn ngữ
và được sử dụng tại 215 quốc gia khác nhau. Nên khả năng hổ trợ là rất lớn.
- Moodle cho phép trao đổi trực tiếp với chính những người phát triển phần
mềm, góp ý kiến và u cầu chỉnh sửa.
1.4. Mơ hình hệ thống E-learning của trƣờng Đại học Đại Nam
Trong giai đoạn đầu triển khai, việc cung cấp công nghệ đào tạo E-learning do
một đối tác phối hợp với Trường Đại học Đại Nam. Đến nay, nhà trường đã xây dựng
và chủ động về hệ thống công nghệ E-learning để triển khai đào tạo trực tuyến. Một
số tiêu chuẩn được áp dụng trong quá trình xây dựng hệ thống E-learning:
- Chuẩn đóng gói (packaging standards): Cho phép ghép các khóa học tạo bởi
các công cụ khác nhau bởi các nhà sản xuất khác nhau thành các gói nội dung
(packages). Các chuẩn này cho phép hệ thống quản lý nhập và sử dụng được
các khóa học khác nhau.
- Chuẩn trao đổi thơng tin (communication standards): Nhóm chuẩn thứ hai cho
phép các hệ thống quản lý đào tạo hiển thị từng bài học đơn lẻ. Hơn nữa, có thể
theo dõi được kết quả kiểm tra của học viên, quá trình học tập của học viên.
Chuẩn này cũng quy định đối tượng học tập và hệ thống quản lý trao đổi thông

tin với nhau như thế nào.
- Các chuẩn metadata (metadata standards): Nhóm chuẩn này quy định cách mà
các nhà sản xuất nội dung có thể mơ tả các khóa học và các module của mình
để các hệ thống quản lý có thể tìm kiếm và phân loại được khi cần thiết.
- Chuẩn chất lượng của các module và các khóa học (quality standards). Chuẩn
này kiểm sốt tồn bộ q trình thiết kế khóa học cũng như khả năng hỗ trợ
của khóa học với những đối tượng người học.
1.4.1. Hạ tầng truyền thông và mạng
Hạ tầng truyền thông và mạng: Bao gồm các thiết bị đầu cuối người dùng (học
viên), thiết bị tại các cơ sở cung cấp dịch vụ, mạng truyền thông. Hệ thống thông tin
trường Đại học Đại Nam sử dụng một số cổng dịch vụ và truyền thơng. Có hai tổ
chức chính đưa ra các chuẩn liên kết được thực thi nhiều trong các hệ thống quản lý
học tập. Aviation Industry CBT Committee (AICC) và SCORM
1.4.2. Hạ tầng phần mềm


9

- RELOAD là phần mềm thực hiện các bản mô tả của các tổ chức giáo dục như
ADL và IMS Global để tạo nên các bài giảng trực tuyến được đóng gói và sử
dụng trong mơi trường giáo dục phân tán, dựa trên các hệ quản trị đào tạo.
- Hot Potatoes là một bộ bao gồm nhiều ứng dụng, cho phép trường tạo ra các
câu hỏi đa lựa chọn, câu trả lời ngắn, ô chữ, kết hợp đặt hàng và khoảng cách
điền vào các bài tập cho World Wide Web. phần mềm có các tính năng cơ bản
cho việc thiết lập các đề kiểm tra trắc nghiệm như: Đảo ngẫu nhiên ngân hàng
câu hỏi (kể cả đảo thứ tự đáp án); Cho phép chèn hình ảnh vào; Có thể in ra
giấy kèm đáp án (thông qua một phần mềm gõ văn bản như MS Word chẳng
hạn); Soạn thảo được nhiều dạng câu hỏi trắc nghiệm. Có thể soạn thảo bằng
tiếng Việt được (dùng Unicode); Cho phép gửi bài trắc nghiệm lên trang Hot
Potatoes để sinh viên có thể làm thử ở bất kỳ nơi đâu có máy tính kết nối

Internet.
- LAMS là một công cụ về thiết kế, quản lý và cung cấp trực tuyến các hoạt
động hợp tác học tập. Nó cung cấp cho giảng viên một mơi trường authoring
cao hình ảnh trực quan cho việc tạo chuỗi các hoạt động học tập. Những hoạt
động này có thể bao gồm một loạt các nhiệm vụ cá nhân, nhóm nhỏ làm việc
và toàn bộ lớp hoạt động dựa trên cả nội dung và hợp tác.
- eXe là công cụ xây dựng nội dung đào tạo authoring được thiết kế chạy trên
môi trường web để giúp cho trong việc thiết kế, phát triển và xuất bản các tài
liệu học trên web giảng viên mà không cần phải thành thạo HTML, XML. eXe
được phát triển như một công cụ authoring offline mà không cần thiết phải kết
nối mạng. Điều này sẽ giúp cho giảng viên có thể soạn bài trên máy tính cá
nhân rồi upload lên Moodle.
- Các công cụ khác: Course Genie cho phép bạn nhanh chóng và dễ dàng chuyển
đổi các tài liệu Microsoft Word vào các khóa học tương tác trực tuyến và các
trang web.; Math type giúp cho bạn gõ các cơng thức tốn học một cách thuận
tiện và nhanh chóng; SimpleRecorder giúp bạn có thể thu được hình ảnh và
giọng nói của mình để tải lên Moodle khiến cho bài của giảng bạn thêm sinh
động
1.4.3. Nội dung đào tạo
-

Một số chuẩn dữ liệu được áp dụng trong hệ thống E-Learning Đại Nam: [10]
Learning Object Metadata StandardLearning Resources Metadata Specification.
SCORM Metadata standards
Learning Object Metadata Standard
Learning Resources Metadata Specification


10


- SCORM Metadata standard
1.4.4. Thành phần quản trị
Thành phần quan trọng bậc nhất của E-learning trường Đại học Đại Nam là hệ
thống quản trị, nhưng để phát triển một website với đầy đủ chức năng cơ bản của một
hệ quản trị sao cho vận hành ổn định, an toàn lại tốn quá nhiều thời gian và tiền bạc
nên chưa phù hợp với điều kiện của trường. Vì vậy, trường Đại học Đại Nam đã lựa
chọn sử dụng phần mềm hệ thống quản lý học tập mã nguồn mở có sẵn như Moodle
và phần mềm chạy webserver (Xampp) được tính hợp sẵn các dịch vụ máy chủ web
như: Apache, php, MySql, FTP server và các công cụ quản lý cơ sở dữ liệu như:
phpmyadmin. Hệ thống bước đầu đã đạt được những thành quả đáng khích lệ. [10]
Các module chính của Moodle E-learning gồm: module bài tập lớn, module bài
thi, module bản chú giải thuật ngữ, module bình bầu, module chát, module diễn đàn,
module khảo sát, module lựa chọn, module scorm, module sổ nhật ký, module tài
nguyên. Có thể dùng Moodle với các database mã nguồn mở như MySQL hoặc
PostgreSQL. Mô hình đào tạo trực tuyến của trường có thể nói là một trong những
mơ hình phát triển E-learning có hàm lượng và tương tác giảng viên – học viên cao
nhất trên nhiều khía cạnh:
a) Về hệ thống CNTT: Dựa trên phần mềm mã nguồn mở Moodle chạy trên nền
tảng web. Hệ thống E-learning được xây dựng với những tính năng như:
 Quản lý thành viên: Chức năng này do admin đảm nhiệm, admin có thể tạo tài
 khoản người dùng mới vào hệ thống, chứng thực người dùng đó đã là thành
viên của hệ thống hay chưa và thực hiện phân quyền cho họ.
 Quản lý khoá học: Moodle cho phép thêm các khóa học mới và cập nhật nội
dung cho khố học đó, có thể sao lưu khố học để sử dụng lại.
 Quản lý điểm: Điểm số của các học viên trong từng khoá học được báo cáo chi
tiết lại để cho giảng viên tiện quản lý học viên của mình.
 Quản lý module: bao gồm quản lý các hoạt động, bộ lọc và khối.
b) Học liệu: Ngoài sách/giáo trình mơn học in ấn theo hình thức học truyền
thống, sinh viên học E-learning trong hệ thống của Đại Nam được cung cấp
(miễn phí) trên hệ thống E-learning các học liệu hỗ trợ cho quá trình tự học sau

đây:
- Kế hoạch học tập lớp môn
- Hướng dẫn học tập mơn học (text)
- Sách/giáo trình điện tử (e-book)
- Bài giảng đa phương tiện (audio, video, slide)
- Video ghi lại toàn bộ bài giảng trên lớp học trực tuyến (VClass).


11

- Ngân hàng câu hỏi trắc nghiệm trực tuyến (phục vụ tự luyện tập, kiểm tra)
- Các bài tập tình huống/chủ đề thảo luận mở trên Diễn đàn thảo luận môn học
c) Giảng viên: Giảng viên tham gia giảng dạy E-learning ngồi kiến thức chun
mơn và phương pháp dạy học tích cực, cịn có kỹ năng giảng dạy từ xa, kỹ
năng sử dụng CNTT trong môi trường giảng dạy trực tuyến và ngồi ra cịn
phải thực hiện các qui định trong giảng dạy trực tuyến, như trả lời giải đáp
đúng hạn các câu hỏi của sinh viên, tham gia buổi lên lớp trực tuyến theo lịch,
tổ chức cho sinh viên làm bài tập nhóm, bài tập tình huống...
d) Hỗ trợ học tập: Với đặc thù người học ở phân tán nhiều nơi, chủ yếu học từ
xa và qua mạng internet, người học ln được hỗ trợ trong q trình học tập:
 Hỗ trợ về phương pháp học trực tuyến, hướng dẫn và cung cấp các thông tin,
thủ tục liên quan đến khóa học (thơng qua đội ngũ cố vấn học tập);
 Hỗ trợ về kỹ thuật, đăng nhập hệ thống và chuẩn bị thiết bị học tập (thông qua
đội ngũ hỗ trợ kỹ thuật);
 Hỗ trợ phương pháp học tập mơn học, nhắc nhở sinh viên hồn thành nhiệm vụ
học tập môn học (thông qua đội ngũ quản lý lớp môn).
 Phương tiện thực hiện việc hỗ trợ học tập: qua mail, điện thoại, hệ thống hỗ trợ
online.
e) Quá trình tổ chức đào tạo: Quá trình tổ chức đào tạo gồm 4 hoạt động cơ
bản:

(1) Tự nghiên cứu học liệu: nhiệm vụ học tập được chia theo từng tuần. Sinh
viên tự học qua tài liệu trên mạng (bài giảng điện tử, video, audio) hoặc tự học offline
với đĩa CD-ROM;
(2) Trao đổi giải đáp: Sinh viên trao đổi các thắc mắc với giảng viên, cố vấn học
tập và thảo luận với nhau thông qua hệ thống E-learning hoặc tại các buổi học tập
trung (offline); Lớp học có thể được chia ra nhiều nhóm nhỏ để hỗ trợ nhau trong
việc học tập, nâng cao chất lượng đào tạo.
(3) Thực hành, luyện tập: Sau mỗi học phần có các bài tập trắc nghiệm luyện tập
(quiz) và bài tập tình huống. Học viên làm bài để thực hành, luyện tập về môn học.
(4) Thi, kiểm tra đánh giá: Trường Đại học Đại Nam áp dụng mơ hình đánh giá
thường xun gồm đánh giá chun cần, kiểm tra giữa kỳ và thi hết học phần/môn
học. Việc đánh giá chuyên cần và kiểm tra giữa kỳ căn cứ vào thời gian truy cập bài
giảng, hoàn thành các bài luyện tập trên mạng, các bài tập do giảng viên yêu cầu,
hoặc thông qua phỏng vấn trực tiếp, trình bày sản phẩm... Kết thúc mỗi mơn học sinh
viên phải làm bài tập trung tại địa điểm của Trường Đại học Đại Nam và các địa điểm
liên kết tại địa phương.


12

f) Quản lý sinh viên: Tồn bộ hồ sơ thơng tin sinh viên, quá trình học tập của
sinh viên… được theo dõi và quản lý tập trung tại Trung tâm E-learning, Trường Đại
học Đại Nam thông qua hệ thống quản lý và đội ngũ cố vấn học tập, giáo vụ và quản
lý lớp môn. Đơn vị liên kết tại địa phương có vai trị phối hợp trong cơng tác tuyển
sinh, hướng dẫn người học, cung cấp cơ sở vật chất trang thiết bị phòng học tập
trung, phòng thi và phối hợp tổ chức các kỳ thi kết thúc học phần/môn học và phối
hợp với Trung tâm E-learning quản lý sinh viên học tại địa phương.
Kết luận chƣơng 1
Những kết quả cơ bản của chương 1 như sau:
- Trình bày về hệ thống đào tạo trực tuyến E-learning bao gồm: Vai trị, cơng

nghệ áp dụng, thành phần... Các kết quả nghiên cứu cho thấy nhu cầu học
tập của con người và lợi ích to lớn của của việc học trực tuyến.
- Trình bày về mơ hình đào tạo trực tuyến của trường Đại học Đại Nam.


13

CHƢƠNG 2: AN TỒN THƠNG TIN CHO HỆ THỐNG E-LEARNING
TRƢỜNG ĐẠI HỌC ĐẠI NAM
2.1. Các nguy cơ mất an toàn thông tin trên hệ thống E-learning
2.1.1. Khái quát về mối đe dọa và lỗ hổng
 Mối đe dọa (Threat): Các mối đe dọa (threat) đến an toàn hệ thống là các hành
động hoặc các sự kiện/hành vi có khả năng xâm hại đến độ an toàn của một hệ thống
E-learning. Mục tiêu đe dọa tấn công (Target): chủ yếu là các dịch vụ an ninh (dịch
vụ www, DNS, …). Mối đe dọa thì có nhiều nhưng để khai thác được thì chỉ có một
số. [1, 2, 3, 4, 7].
 Lỗ hổng (Vulnerability): Lỗ hổng là bất kỳ khiếm khuyết hoặc điểm yếu trong
hệ thống có thể tạo điều kiện cho phép một mối đe dọa gây tác hại, nó có thể tạo ra sự
ngưng trệ các dịch vụ trên hệ thống hay nguy hiểm hơn nó cũng là cửa vào, ra của hệ
thống của hacker. [1, 2, 3, 4, 7].
Một số lỗ hổng phổ biến trong hệ thống đào tạo E-learning [1, 2, 3, 4, 7]:
 Lỗ hổng trong hệ điều hành.
 Lỗ hổng phần mềm ứng dụng.
 Lỗ hổng trong hệ thống cơ sở dữ liệu.
 Lỗ hổng người dùng.
2.1.2. Mục đích của đảm bảo an tồn thơng tin cho hệ thống E-learning
Các hệ thống đảm bảo ATTT (An tồn thơng tin) cho hệ thống đào tạo trực
tuyến E-learning nhằm đảm bảo 3 tính chất quan trọng đó là [1, 2, 3, 4, 7]:
- Tính bí mật (Confidentiality): là bảo vệ dữ liệu khơng bị lộ ra ngồi một cách
trái phép. Ví dụ: Trong hệ thống học trực tuyến, một sinh viên được phép

xem thông tin kết quả học tập của mình nhưng khơng được phép xem thơng
tin của sinh viên khác.
- Tính tồn vẹn (Integrity): chỉ những người dùng được ủy quyền mới được
phép chỉnh sửa dữ liệu. Ví dụ: Trong hệ thống học trực tuyến, khơng cho
phép sinh viên được phép tự thay đổi thông tin kết quả học tập của mình
- Tính sẵn sàng (Availability): đảm bảo dữ liệu luôn sẵn sàng khi những người
dùng hoặc ứng dụng được ủy quyền yêu cầu. Ví dụ: Trong hệ thống học trực
tuyến, cần đảm bảo rằng sinh viên có thể truy vấn thơng tin kết quả học tập
của mình bất cứ lúc nào và bất cứ nơi đâu.
2.1.3. Một số loại hình tấn cơng hệ thống E-learning
 Tấn công bằng mã độc: Đối với hệ thống E-learning tấn công mã độc sẽ làm
ảnh hưởng đến chất lượng dịch vụ hoặc ảnh hưởng đến tính tồn vẹn và bí mật của hệ
thống . Ví dụ: một sinh viên hoặc một người dùng có thể lợi dụng phát tán mã độc lên


14

hệ thống để chiếm quyền điều khiển của hệ thống hoặc thay đổi điểm thành phần
hoặc xóa dữ liệu. Đối với hệ thống E-learning thì kỹ thuật tấn cơng bằng mã độc cực
kỳ nguy hiểm và rất khó phát hiện vì đa số các hệ thống hệ thống E-learning thì cơ
chế ATTT nói chung và cơ chế phát hiện mã độc hoặc hành vi phát tán mã độc vẫn
chưa được xem nặng [1, 2, 3, 4, 7].
 Tấn công từ chối dịch vụ (DoS- Denial of Service Attacks): Kỹ thuật tấn công
DOS lên hệ thống E-learning rất dễ dàng thực hiện, bởi vì hiện nay phịng chống kỹ
thuật tấn cơng gần như chưa có một biện pháp nào khả thi. Người dùng có thể lợi
dụng kỹ thuật này để tấn công làm cho hệ thông E-learning không thể hoạt động được
trong những tình huống cần thiết như: thi học kỳ, đăng ký tín chỉ [1, 2, 3, 4, 7].…

Tấn cơng từ chối dịch vụ phân tán (DdoS – Distributed Denial of
Service): Tương tự như tấn công DOS, một tấn công DdoS được thực hiện sẽ rất khó

để ngăn chặn hồn tồn. Những gói tin đến Firewall có thể chặn lại, nhưng hầu hết
chúng đều đến từ những địa chỉ IP chưa có trong các Access Rule của Firewall và là
những gói tin hồn tồn hợp lệ [1, 2, 3, 4, 7]...

Tấn công kiểu Social Engineering: Tấn công kiểu Social Engineering
là dạng tấn công sử dụng các kĩ thuật xã hội đã thuyết phục người dùng tiết lộ thông
tin truy nhập hoặc các thơng tin có giá tị cho kẻ tấn công. Người dùng là những sinh
viên, học viện, nghiên cứu viên sử dụng hệ thống E-learning nếu khơng có ý thức
cảnh giác cũng như tuân thủ chính sách đảm bảo ATTT của nhà trường thì hồn tồn
có thể là mục tiêu của kỹ thuật tấn công này. Khi kỹ thuật này thành công sẽ không
chỉ ảnh hưởng đến hộ thống mà cịn ảnh hưởng đến uy tín và danh dự của người bị
tấn công. Trong thực tế, kỹ thuật tấn cơng kiểu Social Engineering rất dễ thực hiện vì
nó tấn công và lợi dụng vào điểm yếu con người [1, 2, 3, 4, 7]....

Tấn công SQL Injection attack: Lỗi này thường xảy ra trên các ứng
dụng website của hệ thống E-learning có dữ liệu được quản lý bằng các hệ quản trị cơ
sở dữ liệu như SQL Server, Oracle,DB2, Sysbase. Tác hại từ SQL Injection attack
tùy thuộc vào môi trường và cách cấu hình hệ thống E-learning. Nếu hệ thống Elearning sử dụng quyền của người sở hữu cơ sở dữ liệu khi thao tác dữ liệu , nó có thể
xóa tồn bộ các bảng dữ liệu, tạo các bảng dữ liệu mới,… Nếu hệ thống E-learning sử
dụng quyền quản trị hệ thống, nó có thể điều khiển tồn bộ hệ quản trị CSDL và với
quyền hạn rộng lớn như vậy nó có thể tạo ra các tài khoản người dùng bất hợp pháp
để điều khiển hệ thống [1, 2, 3, 4, 7]....

XSS: Cross-site Scripting (XSS). Phương thức này là phương thức tấn
cơng mà kẻ tấn cơng có thể chèn những đoạn mã một cách tùy ý lên website hệ thống
E-learning. Sau đó kẻ tấn cơng dùng cách nào đó “lừa” người dùng thực thi nó với
quyền quản trị của mình, và sau đó người dùng bị chiếm hồn tồn phiên làm việc
đang diễn ra. Sau khi đã có có được thơng tin từ phía người dùng, kẻ tấn cơng sẽ thực



15

hiện quá trình “Dựng lại phiên làm việc” của người dùng trên máy của mình, khi đó
kẻ tấn cơng đã có tồn quyền quản lý website của nạn nhân [1, 2, 3, 4, 7]....
2.2. Vấn đề đảm bảo an toàn thông tin cho hệ thống E-learning trƣờng Đại học
Đại Nam
2.2.1. Một số nguy cơ mất an tồn thơng tin trên hệ thống E-learning trƣờng Đại
học Đại Nam [7, 10].
 Tấn công vào hệ thống vận hành (hệ thống moodle).
 Tấn công vào ứng dụng website (cổng dịch vụ của hệ thống với người
dùng).
 Tấn công vào công tác vận hành, quản trị: Khai thác điểm yếu trong cơ
chế quản trị, người dùng.
 Tấn công vào nền tảng phục vụ ứng dụng website: Khai thác vào lỗ hổng
webserver, máy chủ OS, DB, dịch vụ đang chạy trên máy chủ.
Một số nguyên nhân dẫn đến hệ thống có thể bị tấn cơng như:


Hệ thống mã nguồn bị lỗi bảo mật.
 Mã nguồn chứa virus.
 Cấu hình sơ sài.
 Chưa nắm rõ kỹ thuật.
 Cài đặt tùy biến mở rộng (addons,plugin, mod …) khơng kiểm duyệt.
Tóm lại : khi nghiên cứu về mơ hình hệ thống E-learning của trường Đại học
Đại Nam có thể thấy được, kẻ tấn cơng có thể lợi dụng vào 2 thành phần chính để tấn
cơng lên hệ thống như sau:
1. Tấn công vào nền tảng của phần mềm Moodle: Để tấn công vào phần
mềm Moodle kẻ tấn công có thể sử dụng một số kỹ thuật sau [7]:
- Lỗi tràn bộ đệm[1, 2, 3, 4, 7].
- Tấn công sử dụng cửa hậu (Back doors hoặc Trap doors) [1, 2, 3, 4, 7].

- Tấn công bằng mã độc [1, 2, 3, 4, 7].
- Khai thác lỗ hổng zero day[1, 2, 3, 4, 7].
2. Tấn công vào website: đối với mơi trường tấn cơng này, kẻ tấn cơng có thể
tấn công vào hệ thống dựa trên 2 thành phần
- Tấn công trên nền tảng website ứng dụng: một số kỹ thuật tấn công phổ
biến như: XSS ; SQL Injection, thay đổi giao diện người dùng; tấn công
DOS, DDOS... [1, 2, 3, 4, 7]
- Tấn công vào cơ sở dữ liệu: Ví dụ: Thay đơi SQL trong trình điều khiển của
Moodle SQL Server: Ký tự trống được cho phép trong chuỗi truy vấn, khiến
các lệnh sql kết thúc và lỗi [1, 2, 3, 4, 7].


16

2.2.2. Đảm bảo an tồn thơng tin cho hệ thống E-learning trƣờng Đại học Đại
Nam
a) Đảm bảo an tồn thơng tin cho hệ thống E-learning trường Đại học
Đại Nam dựa trên công nghệ:
- Các cơ chế bảo mật hiện tại của hệ quản l học tập Moodle [1, 2, 3, 4, 7]:
Moodle đưa ra các quy định về bảo vệ tài khoản trên hệ thống:
 Thiết lập mật khẩu với độ bảo mật cao (bao gồm cả một số chữ in hoa,
ít nhất là một chữ số, một số ký tự đặc biệt, vv ... )
 Kiểm soát truy cập dựa trên quyền hạn của tài khoản: một tài khoản có
thể tham gia vào nhiều lớp với nhiều mơn học khác nhau nếu cho phép. Người dùng
sẽ được cấp tất cả các quyền cần thiết để tham gia vào hệ thống. Bằng cách này người
dùng sẽ chỉ được hoạt động trong hệ thống với quyền hạn của mình. Khi khơng được
tham gia vào khóa học thì sinh viên khơng thể truy nhập vào học được. Mơ hình quản
lý dựa vào tài khoản là một phương pháp hạn chế các truy cập trái phép vào hệ
thống, nó cho phép các nhóm xác định, người dùng trong cùng nhóm hoặc thậm chí
khác nhóm..

 SCORM chia cơng nghệ của việc học tập E-learning thành các
component chức năng. Một “asset” là tên gọi tượng trưng cho phương tiện truyền
thông (media) như văn bản (text), hình ảnh (image), âm thanh (sound), hoặc bất kỳ
một mẫu dữ liệu của một trang web client nào mà có thể phân phát. Hầu hết các dạng
cơ bản của nội dung là một “asset”. Asset bao gồm những tập tin như:
“.doc, .wav, .jpeg, .fla, .mov, .gif, .avi, và .htm”.
- Sử dụng phần mềm Antivirus: trong thực tế, việc sử dụng hệ thống antivirus
kết hợp với các công nghệ/ kỹ thuật mới đã đạt hiệu quả tốt trong việc phòng chống
tân công vào các hệ thống E-learning.
- Sử dụng Firewalls: Tường lửa là một kỹ thuật được tích hợp vào hệ thống
mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng
như hạn chế sự xâm nhập của một số truy cập không mong muốn vào hệ thống Elearning.
- Xây dựng hệ thống phát hiện và ngăn chặn xâm nhập (Instrution Detection
(IDS/ Instrution Prevention(IPS): Hệ thống phát hiện xâm nhập IDS là hệ thống có
nhiệm vụ theo dõi, phát hiện và (có thể) ngăn cản sự xâm nhập, cũng như các hành vi
khai thác trái phép tài nguyên của hệ thống. Hệ thống IDS sẽ thu thập thông tin từ rất
nhiều nguồn trong hệ thống được bảo vệ sau đó tiến hành phân tích những thơng tin
đó theo các cách khác nhau để phát hiện những xâm nhập trái phép.


17

- Xây dựng Security Information Event Management (SIEM): là một giải pháp
hoàn chỉnh cho phép các tổ chức thực hiện việc giám sát các sự kiện ATTT cho một
hệ thống E-learning.
- Hệ thống Two-Factor Authentication (Xác thực dùng hai nhân tố): Có nhiều
hình thức của xác thực dùng hai nhân tố có sẵn cho người dùng cuối. Bằng cách thực
hiện xác thực hai yếu tố cho người dùng từ xa hoặc người dùng mà yêu cầu truy cập
thông tin nhạy cảm, một tổ chức có thể gây khó khăn cho kẻ tấn công những kẻ tấn
công sẽ cần phải cung cấp một form định danh thứ hai để truy cập vào mạng. Phương

pháp xác thực dùng hai nhân tố được sử dụng thông thường bao gồm username và
password tiêu chuẩn cộng với một token xác thực dựa trên phần mềm hoặc phần
cứng, nó cung cấp mật khẩu sử dụng một lần, phải nhập vào khi username và
password được trình bày cho các máy chủ xác thực.
- Một số công nghệ có thể triển khai ngay trong hệ thống:
 Sử dụng mật khẩu an toàn: Người dùng đều biết nên sử dụng mật khẩu phức
tạp, nhưng không phải ai cũng làm điều đó. Quản trị website nên sử dụng mật khẩu
mạnh cho máy chủ và khu vực quản trị website, kể cả những tài khoản người dùng
cũng nên dùng tài khoản mạnh. Nếu một máy chủ đặt mật khẩu yếu, máy chủ đó có
thể bị tấn cơng bất cứ lúc nào[1, 2, 3, 4, 7].
 Bảo vệ các form File Upload: Các form này cho phép người dùng tải lên các
tệp tin, đây có thể là một rủi ro an tồn rất lớn, nếu các form này không được kiểm
duyệt, kiểm sốt chặt chẽ, tin tặc có thể vượt qua để tải lên các tệp tin độc hại. Đây sẽ
là các điểm yếu nguy hiểm trên website. Nếu website có một form upload thì form
này phải được kiểm duyệt chặt chẽ và kết hợp nhiều yếu tố trước khi ghi file vào ổ
cứng của máy chủ. Bao gồm: tên file, phần mở rộng, MIME TYPE, kích thước…
Ngồi ra người quản trị có thể đảm bảo an tồn bằng cách khơng cho phép thực thi
tệp tin trong các thư mục chứa tài liệu upload [1, 2, 3, 4, 7].
 Triển khai HTTPs: SSL là một giao thức cung cấp chuẩn an toàn thơng qua
Internet để mã hóa các dữ liệu được gửi trên đường truyền và chống lại các cuộc tấn
công lên website.
 Kiểm duyệt phía máy chủ, kiểm duyệt form nhập: Kiểm duyệt dữ liệu đầu
vào ln phải được hồn thành ngay trên trình duyệt và cả phía máy chủ. Trình duyệt
website có thể bắt những lỗi đơn giản như để trống trường bắt buộc hay nhập ký tự
chữ cái vào trường số điện thoại. Tuy nhiên, tin tặc hoàn toàn có thể vượt qua các
thao tác kiểm duyệt này. Cần đảm bảo chắc chắn rằng webiste đã kiểm duyệt được
các dữ liệu đầu vào được gửi đến từ người dùng website.
b) Đảm bảo an tồn thơng tin cho hệ thống E-learning trường Đại học
Đại Nam dựa trên việc đào tạo và nâng cao nhận thức về ATTT cho sinh viên và
cán bộ công nhân viên:



18

Hầu hết các cuộc tấn công vào website của hệ thống E-learning đều sử dụng kỹ
thuật xã hội. Chính vì vậy việc đào tạo và nâng cao nhận thức của sinh viên và cán bộ
công nhân viên trong tổ chức là việc làm cần thiết. Tất cả người dùng trong hệ thống
E-learning cần biết những gì họ cần làm (chính sách - policy), họ có những kĩ năng gì
để thực hiện nó (huấn luyện/đào tạo - training) và họ hiểu tầm quan trọng do đó họ sẽ
làm theo những gì họ có nghĩa vụ phải làm (nhận thức - awareness).
c) Đảm bảo an tồn thơng tin cho hệ thống E-learning trường Đại học
Đại Nam dựa trên việc đánh giá rủi ro và xây dựng kế hoạch dự phòng, khắc phục
sự cố:
Nhiệm vụ quan trọng nhất trong phòng chống lên hệ thống E-learning đó là
hiểu về những gì cần bảo vệ. Hiện nay, hệ thống E-learning của trường Đại Nam đã
được nâng cấp và có những chiến lược khắc phục sự cố, dự phòng cụ thể. Ban quản
trị đã lập kế hoạch quản lý rủi ro, phân bổ ngân sách và các nguồn lực để bảo vệ các
tài sản có giá trị, Đối với vấn đề bảo mật E-learning của trường Đại Nam, kế hoạch
quản lý rủi ro bao gồm các khía cạnh sau:
 Đánh giá các tài sản có giá trị : Mục đích của tấn cơng lên hệ thống Elearning là thu thập thông tin, đánh cắp dữ liệu hoặc phá hoại tài sản. Chính vì vậy,
để phịng chống các cuộc tấn cơng này vấn đề quản lí việc bảo mật thông tin quan
trọng là vô cùng quan trọng. Điều khơng thể thiếu đó là cần biết rõ về nơi mà các tài
sản thơng tin có giá trị được đặt: Chúng ở đâu? Ai truy cập và tại sao? Khi nào được
truy cập?
 Xác định những lỗ hổng hay các mối đe dọa
Các mối đe dọa có thể xảy ra: Xác định các mối đe dọa cụ thể mà có thể ảnh
hưởng đến hệ thống E-learning của trường Đại Nam. Trong khi có rất nhiều nguy
cơ/mối đe dọa, điều quan trọng là tập trung vào những nguy cơ thực sự và có thể gây
ra những tác hại thực sự với hệ thống. Khi xác định được những lỗ hổng từ đó người
quản trị cũng có thể được những vector cơng nghệ (phương pháp) nào mà có thể gây

ra thiệt hại lớn nhất. Những vector nào mà kẻ tấn công sẽ sử dụng để xâm nhập/gây
hại đến hệ thống. Khi đó ban quản trị sẽ có các giải pháp để phịng chống giúp giảm
thiểu tối đa các cuộc tấn cơng.
 Đánh giá tình trạng bảo mật của hệ thống E-learning
Đối với việc phịng chống tấn cơng lên hệ thống E-learning thì hệ thống bảo
mật cần thực hiện tốt các vấn đề như:
 Phải biết dữ liệu nào là quan trọng trong hệ thống và các giả pháp bảo mật
cho dữ liệu ấy.


19

 Tìm và đánh giá lỗ hổng bảo mật trước khi có thể khắc phục chúng.
 Đảm bảo rằng các biện pháp bảo mật cơ bản được đưa ra. Các chính sách xác
thực và mật khẩu, thủ tục quản lý bản vá, tưởng lửa phải được thiết lập tốt.
 Xác định các công cụ bảo mật, các công nghệ, chiến lược bạn hiện đang sử
dụng và hiệu quả của nó trong khả năng chống lại tấn công.
 Tập trung vào các biện pháp đối phó: Xác định danh sách các phương pháp
để giảm nguy cơ. Phần quan trọng trong việc lựa chọn một biện pháp đối phó là để
tìm ra các mức độ chấp nhận rủi ro là gì.
Tóm lại. khơng có hệ thống miễn nhiễm với rủi ro, do vậy là người quản lý
phải biết phân tích và đưa ra quyết định rủi ro nào là chấp nhận được, rủi ro nào cần
làm giảm thiểu hay cần chuyển sang dạng khác
Kết luận chƣơng 2
Những kết quả cơ bản của chương 2 như sau:
- Trong chương 2 luận văn đã trình bày rõ về các nguy cơ, điểm yếu, mối đe
dọa đối với hệ thống đào tạo trực truyến E-learning nói chung và hệ thống
E-learning của trường Đại học Đại Nam. Bên cạnh đó luận văn đã trình bày
các phương pháp nhằm đảm bảo an tồn thơng tin cho hệ thống đào tạo trực
truyến E-learning của trường Đại học Đại Nam. Kết quả nghiên cứu cho

thấy để đảm bảo an tồn thơng tin cho hệ thống E-learning của trường Đại
học Đại Nam cần kết hợp đầy đủ các yếu tố: con người, chính sách, cơng
nghệ.


20

CHƢƠNG 3. THỰC NGHIỆM VÀ ĐÁNH GIÁ
3.1.

Kịch bản và công cụ thực hiện

3.1.1. Kịch bản tấn công
Để thực hiện tấn công vào hệ thống E-learning của trường Đại học Đại Nam,
kẻ tấn cơng trước tiên sẽ tìm cách rà qt các lỗ hổng, điểm yếu của hệ thống hệ
thống E-learning của trường. Sau khi có danh sách lỗ hổng và điểm yếu trong hệ
thống, kẻ tấn cơng sẽ tìm cách khai thác một trong các lỗ hổng, điểm yếu này để đánh
cắp thông tin. Trong luận văn, sẽ thực hiện rà quét lỗ hổng rồi tiến hành leo thang đặc
quyền rồi chiếm quyền điều khiển của hệ thống. Kịch bản cụ thể của tồn bộ q
trình thực nghiệm như sau:
Bước 1: kẻ tấn công sử dụng công cụ chuyên dụng để quét lỗ hổng, điểm yếu
của hệ thống E-learning của trường Đại học Đại Nam. Kết quả bước 1 sẽ là danh sách
mối đe dọa, lỗ hổng của hệ thống
Bước 2: kẻ tấn cơng nhận thấy khơng có khả năng tấn cơng trực tiếp vào hệ
thống, vì những lỗ hổng và điểm yếu khai thác được vẫn ở mức chưa rõ ràng, đồng
thời những lỗ hổng và điểm yếu này rất khó để khai thác. Tuy nhiên, kẻ tấn cơng
nhận thấy hệ thống E-learning của trường Đại học Đại Nam sử dụng giao diện
website để hỗ trợ đăng nhập và giao tiếp với người dùng. Tuy là một hệ thống lớn
nhưng hệ thống lại không sử dụng giao thức HTTPS mà vẫn sử dụng giao thức HTTP
để truyền tin. Chính vì vậy, kẻ tấn cơng tìm cách nghe nén và thu thập thơng tin. Về

lý thuyết có rất nhiều cách để có thể thu thập thơng tin người dùng từ hệ thống khơng
sử dụng giao thức truyền tin an tồn. Trong luận văn này, học viên lựa chọn phương
thức nghe nén đường truyền trong mạng nội bộ. Đây là kỹ thuật tương đối đơn giản,
nhưng mang lại hiệu quả cao, đặc biệt rất hữu hiệu đối với việc bắt các gói tin trên
đường truyền khơng sử dụng giao thức HTTPS.
Bước 3: kẻ tấn công sau khi đã bắt được những thông tin về tài khoản và mật
khẩu của người quản trị viên. Kẻ tấn cơng lúc này sẽ tìm cách leo thăng đặc quyền
bằng cách gửi WebShell lên hệ thống. Rồi từ đó chiếm tồn quyển điều khiển hệ
thống.
3.1.2. Một số công cụ thực nghiệm
- VMware Workstation 10 [11].
- Kali Linux [12]
- Acunetix WVS (Web Vulnerability Scanner) [13].
- Wireshark [14]
- WebShell [15].


21

3.2. Thực nghiệm và đánh giá
3.2.1. Thực nghiệm rà quét lỗ hổng bảo mật
Để tìm kiếm lỗ hổng bảo mật của website hệ thống E-learning của trường Đại
học Đại Nam, học viên xử dụng cơng cụ Acunetix WVS (hình 3.1). Chức năng và
thành phần của công cụ Acunetix WVS đã được trình bày trong mục 3.1.1 của luận
văn. Tiếp theo, luận văn sẽ trình bày cách thưc tiến hành rà quét lỗ hổng bảo mật của
hệ thống E-learning của trường Đại học Đại Nam.

Hình 3.1. Giao diện của cơng cụ Acunetix WVS

Hình 3.2. Kết quả của quá trình rà quét website bằng công cụ Acunetix WVS



22

Kết luận: Trên đây luận văn đã trình bày về kỹ thuật và cách thức để tiến hành
rà quét, tìm kiếm và phân tích lỗ hổng bảo mật của hệ thống E-learning của trường
Đại học Đại Nam dựa trên công cụ mã nguồn mở Acunetix WVS. Các kết quả ban
đầu cho thấy hệ thống này tương đối an toàn với các kỹ thuật tấn công mạng phổ
biến hiện nay. Kết quả cũng giúp cho kẻ tấn cơng có phương án khác khi tấn công
vào hệ thống đào tạo E-learning của trường Đại học Đại Nam
3.2.2. Thực nghiệm tấn công
Sau khi thất bại trong việc tìm kiếm lỗ hổng bảo mật để khai thác thông tin trên
hệ thống E-learning của trường Đại học Đại Nam. Kẻ tấn công nhận thấy rằng việc
tấn công trực diện vào hệ thống sẽ không khả thi. Nhận thấy website của hệ thống Elearning của trường Đại học Đại Nam không sử dụng giao thức HTTPS để thực hiện
truyền và nhận tin. Chính vì vậy, kẻ tấn cơng sẽ tìm cách nghe nén đường truyền để
nắm được thơng tin trong q trình truyền tin. Qúa trình thực hiện được tiến hành như
sau:
Bước 1: tìm cách giả mạo địa chỉ IP trong mạng Lan. Học viên giả thuyết rằng,
kẻ tấn công và nạn nhân đang ngồi cùng một mạng Lan. Kẻ tấn công sẽ dùng kỹ thuật
để bắt được gói tin và phân tích chúng.
Bước 2: cấu hình cho Wireshark. Ở bước này, kẻ tấn cơng sẽ sử dụng eth0 và
khởi động.

Hình 3.3. Thơng tin được thu thập từ Wireshark
Bước 3: chờ đợi thông tin đăng nhập từ các nạn nhân: Quản trị vào website để
đang nhập tài khoản và quản lý.


23


Hình 3.4. Nạn nhân đăng nhập thơng tin
Bước 6: Thu thập thông tin: Tại máy của kẻ tấn công. Sau khi bắt được các gói
tin, kẻ tấn cơng điền vào ô tìm kiếm trên wireshark: http.request.method == “POST”.
Kết quả thu được được thể hiện qua hình 3.5

Hình 3.5. Kết quả phân tích gói tin
Từ hình 3.5 cho thấy thơng tin về mật khẩu và tên người dùng trong quá trình
đăng nhập từ các máy khách rồi chuyển về máy chủ đều lưu dưới dạng bản rõ. Chính
vì vậy, kẻ tấn công đã thu thập được thông tin và mật khẩu của người quản trị. Từ
những thông tin này, kẻ tấn cơng sẽ tìm cách đăng nhập vào hệ thống và tiến hành
tiêm mã độc vào hệ thống nhằm đánh cắp hoặc leo thang đặc quyền trong hệ thống.
Tiếp theo, luận văn sẽ mơ tả q trình kẻ tấn cơng tiến hành leo thang đặc quyền và
chiếm quyền điều khiển của tồn bộ hệ thống.
Quy trình kẻ tấn cơng tiến hành leo thang đặc quyền và chiếm quyền điều
khiển của toàn bộ hệ thống gồm các bước như sau:
Bước 1: Đăng nhập vào hệ thống dưới danh nghĩa của quản trị viên: Sau khi đã
biết được thông tin đăng nhập của quản trị viên, kẻ tấn công tiến hành đăng nhập
những thơng tin này trên máy của mình


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×