Tải bản đầy đủ (.doc) (283 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Hệ điều hành

14 danh gia va kiem dinh an toan HTTT

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (9.91 MB, 283 trang )

BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ

TS. TRẦN ĐỨC SỰ, KS. PHẠM MINH THUẤN

GIÁO TRÌNH

ĐÁNH GIÁ VÀ KIỂM ĐỊNH AN TỒN HỆ THỐNG
THƠNG TIN

HÀ NỘI, 2013


BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ

TS. TRẦN ĐỨC SỰ, KS. PHẠM MINH THUẤN

GIÁO TRÌNH

ĐÁNH GIÁ VÀ KIỂM ĐỊNH AN TỒN HỆ THỐNG
THƠNG TIN

HÀ NỘI, 2013


MỤC LỤC
Mục lục
ii
Danh mục từ viết tắt vii
Danh mục bảng viii


Danh mục hình vẽ
ix
Lời nói đầu xii
Chương 1. TỔNG QUAN VỀ ĐÁNH GIÁ VÀ KIỂM ĐỊNH AN TỒN HÊ
THỐNG THƠNG TIN 1
1.1. Khái niệm đánh giá và kiểm định an tồn hệ thống thơng tin
1
1.1.1. Khái niệm đánh giá an tồn hệ thống thơng tin
1
1.1.2. Khái niệm kiểm định an tồn hệ thống thơng tin 2
1.2. Phân biệt đánh giá và kiểm định an tồn hệ thống thơng tin
3
1.3. Các kỹ thuật đánh giá an tồn hệ thống thơng tin 3
1.3.1. Đánh giá hộp trắng3
1.3.2. Đánh giá hộp đen 4
1.3.3. Đánh giá hộp xám 5
1.4. Các bước thực hiện đánh giá và kiểm định an tồn hệ thống thơng tin 5
1.4.1. Lập kế hoạch và chuẩn bị5
1.4.2. Thực hiện đánh giá và kiểm định
6
1.4.3. Lập báo cáo và cấp chứng nhận 7
1.5. Một số tiêu chuẩn đánh giá an toàn hệ thống thông tin
7
1.5.1. Phương pháp ISSAF
8
1.5.2. Phương pháp OSSTMM 10
1.5.3. Phương pháp OWASP 16
Chương 2. ĐÁNH GIÁ AN TOÀN HỆ THỐNG VÀ CÁC THIẾT BỊ MẠNG
20
2.1. Thu thập thông tin mạng 20

2.1.1. Thu thập thông tin bị động
20
2.1.2. Thu thập thơng tin chủ động
26
2.2. Dị qt, điểm danh mạng
29
ii


2.2.1. Xác định các máy đang hoạt động
30
2.2.2. Xác định các dịch vụ và hệ điều hành 31
2.2.3. Xác định các thiết bị mạng
37
2.3. Đánh giá an toàn cho hệ thống 39
2.3.1. Đánh giá an toàn hệ điều hành Windows
39
2.3.1.1. Xâm nhập hệ thống sử dụng phương pháp bẻ mật khẩu.40
2.3.1.2. Tấn công lên các điểm yếu trên hệ thống.......................43
2.3.2. Đánh giá an toàn hệ điều hành Unix/ Linux 52
2.3.2.1. Xác định các máy đang hoạt động..................................52
2.3.2.2. Xác định các cổng và các dịch vụ...................................53
2.3.2.3. Tấn công điểm danh........................................................53
2.3.2.4. Kiểm tra hệ thống UNIX................................................65
2.3.3. Đánh giá điểm yếu an toàn cho WebServer 76
2.4. Đánh giá an toàn cho các thiết bị mạng
81
2.4.1. Đánh giá Switch 81
2.4.2. Đánh giá Router 90
2.4.3. Đánh giá Firewall 100

2.4.4. Đánh giá hệ thống IDS/IPS
122
2.4.4.1. Kiểm tra phát hiện xâm nhập........................................124
2.4.4.2. Kiểm tra về sử dụng tài nguyên của IDS......................125
2.4.4.3. Kiểm tra về tải...............................................................125
2.4.4.4. Các cổng mặc định của IDS/IPS...................................127
2.4.5. Đánh giá hệ thống Antivirus
131
2.4.5.1. Kiểm tra tiêu chuẩn hệ thống chống virus....................131
2.4.5.2. Kiểm tra hướng dẫn Antivirus người dùng cuối...........131
2.4.5.3. Kiểm tra cấu hình máy chủ AntiVirus..........................133
2.4.5.4. Kiểm tra cấu hình cảnh báo..........................................133
2.4.6. Đánh giá các thiết bị khác
133
2.4.7. Một số công cụ hỗ trợ đánh giá an ninh cho các thiết bị mạng 133
2.4.7.1. Công cụ Footprinting....................................................133
2.4.7.2. Công cụ quét.................................................................138
iii


2.4.7.3. Công cụ liệt kê..............................................................141
2.4.7.4. Công cụ khai thác.........................................................143
2.5. Đánh giá an tồn trong mạng khơng dây
150
2.5.1. Khái niệm mạng không dây
150
2.5.2. Wifi 152
2.5.3. Các chuẩn mạng không dây
153
2.5.4. Bảo mật trong mạng không dây 156

2.5.4.1. Bảo mật bằng WEP (Wired Equivalent Privacy)..........157
2.5.4.2. Bảo mật bằng WPA (Wifi Protected Access )...............158
2.5.4.3. Tăng cường bảo mật với chuẩn 802.11i........................160
2.5.5. Đánh giá an tồn mạng khơng dây
160
2.5.5.1. Phát hiện WLAN..........................................................161
2.5.5.2. Mã hóa WLAN.............................................................163
2.5.5.3. Tấn công WLAN..........................................................165
2.6. Thực hành 170
2.6.1. Thực hành thu thập thơng tin và dị qt, điểm danh mạng
170
2.6.2. Thực hành đánh giá an toàn cho hệ thống 170
2.6.3. Thực hành đánh giá an toàn cho các thiết bị mạng và đánh giá an
tồn trong mạng khơng dây
170
Chương 3. ĐÁNH GIÁ AN TOÀN CƠ SỞ DỮ LIỆU VÀ ỨNG DỤNG WEB
171
3.1. Đánh giá an toàn cơ sở dữ liệu 171
3.1.1. Hệ quản trị cơ sở dữ liệu SQL Server 175
3.1.1.1. Tài khoản người sử dụng..............................................175
3.1.1.2. Các cơ chế phân quyền.................................................176
3.1.1.3. Các thủ tục lưu trữ........................................................177
3.1.1.4. Một số công cụ hỗ trợ...................................................178
3.1.2. Hệ quản trị cơ sở dữ liệu Oracle185
3.1.2.1. Tài khoản người sử dụng..............................................186
3.1.2.2. Các cơ chế phân quyền.................................................186
3.1.2.3. Các thủ tục lưu trữ........................................................187
iv



3.1.2.4. Một số công cụ hỗ trợ...................................................188
3.2. Đánh giá an toàn cho các ứng dụng Web
195
3.2.1. Các lỗ hổng thường gặp với ứng dụng Web 195
3.2.2. Quy trình thực hiện đánh giá an toàn ứng dụng Web
197
3.2.2.1. Kiểm tra quản lý cấu hình.............................................198
3.2.2.2. Kiểm tra business logic.................................................201
3.2.2.3. Kiểm tra cơ chế xác thực..............................................201
3.2.2.4. Kiểm tra quản lý phiên giao dịch..................................204
3.2.2.5. Kiểm tra quản lý uỷ quyền............................................207
3.2.2.6. Kiểm tra các dữ liệu đầu vào........................................208
3.2.2.7. Kiểm tra khả năng tấn công từ chối dịch vụ.................214
3.2.2.8. Kiểm tra các dịch vụ Web.............................................215
3.2.2.9. Kiểm tra AJAX.............................................................216
3.2.3. Một số công cụ hỗ trợ 217
3.3. Thực hành 232
3.3.1. Thực hành đánh giá an toàn cơ sở dữ liệu 232
3.3.2. Thực hành tấn công Directory Traversal
232
3.3.3. Thực hành tấn công XSS và SQL Injection 232
Chương 4. KIỂM ĐỊNH AN TỒN HỆ THỐNG THƠNG TIN
233
4.1. Giới thiệu tiêu chuẩn ISO 27001:2005 233
4.2. Thực hiện kiểm định an toàn hệ thống thơng tin
237
4.2.1. Xác định chính sách
238
4.2.2. Xác định phạm vi 238
4.2.3. Xác định rủi ro

238
4.2.4. Quản lý rủi ro
239
4.2.5. Lựa chọn đối tượng kiểm soát và các mục tiêu kiểm soát 240
4.2.6. Tuyên bố về khả năng đáp ứng của hệ thống 240
4.3. Chứng nhận kiểm định an tồn hệ thống thơng tin 241
Chương 5. BÁO CÁO KẾT QUẢ ĐÁNH GIÁ VÀ KIỂM ĐỊNH 243
5.1. Tổng hợp thông tin
243
5.1.1. Các rủi ro xác định thông qua đánh giá
243
v


5.1.2. Các rủi ro xác định thông qua kiểm định
5.1.3. Phân loại rủi ro
244
5.2. Viết báo cáo kết quả đánh giá 245
5.2.1. Thông tin chung về hệ thống đánh giá 246
5.2.2. Cấu trúc hệ thống đánh giá
246
5.2.3. Các rủi ro mức cao248
5.2.4. Các rủi ro mức trung bình và mức thấp
5.2.5. Tổng hợp đánh giá và đề xuất giải pháp
5.3. Viết báo cáo kết quả kiểm định 249
5.3.1. Thông tin chung về tài nguyên kiểm định
5.3.2. Danh mục các mục kiểm định 250
5.3.3. Chi tiết kết quả kiểm định
252
5.4. Một số mẫu báo cáo tham khảo 254

Tài liệu tham khảo 255

vi

244

249
249
250


DANH MỤC TỪ VIẾT TẮT
CVE

: Common Vulnerabilities and Exposures (CVE)

SQL

: Structured Query Language

IDS/IPS

: Intrusion Detection system/ Intrusion Prevention System

ISSAF

: Information System Security Assessment Framework

OSSTMM


: Open Source Security Testing Mothodology Manual

OWASP

: Open Web Application Security Project

NIST

: National Institute of Standards and Technology

HTTP

: Hypertext Transfer Protocol

SSH

: Secure Socket Layer

DNS

: Domain Name System

ICMP

: Internet Control Message Protocol

TCP

: Transmission Control Protocol


UDP

: User Datagram Protocol

IP

: Internet Protocol

SNMP

: Simple Network Management Protocol

DC

: Domain Controller

SID

: Security Identifier

SAM

: Security Accounts Manager

SMB

: Server Messenger Block

LPC


: Local Procedure Call

API

: Application programming interface

ISO

: International Organization for Standardization

IEC

: International Electrotechnical Commission

ISMS

: Information Security Management System

SOA

: Statement of Applicability

vii


DANH MỤC BẢNG
Bảng 1: Các kênh tương tác 12
Bảng 2: Mô tả các kiểu đánh giá
13
Bảng 3: Mẫu minh họa bài viết hướng dẫn đánh giá

Bảng 4: Các lỗ hổng thường gặp với dịch vụ IIS 76
Bảng 5: Các đặc điểm kỹ thuật của IEEE 802.11 155

viii

18


DANH MỤC HÌNH VẼ
Hình 1.1. Sơ đồ phương pháp đánh giá của ISSAF
9
Hình 1.2. Khái qt mơ hình OSSTMM 11
Hình 1.3. Các kiểu đánh giá 13
Hình 1.4. Quy trình đánh giá an ninh hoạt động 15
Hình 2.1. Kết quả hiển thị từ Google.com.vn về Học viện Kỹ thuật Mật mã
22
Hình 2.2. Kết quả từ Wikipedia về Học viện Kỹ thuật Mật mã
22
Hình 2.3. Kết quả từ Whois.net.vn về Học viện Kỹ thuạt Mật mã 23
Hình 2.4. Website Học viện Kỹ thuật Mật mã ngày 30/4/2013 tại trang
Archive.org24
Hình 2.5. Kết quả từ Google Map về Học viện Kỹ thuật Mật mã 24
Hình 2.6. Kết quả từ Dig về Học viện Kỹ thuật Mật mã
25
Hình 2.7. Kết quả từ nslookup về Học viện Kỹ thuật Mật mã
26
Hình 2.8. Super Email Spider 28
Hình 2.9. Kết quả từ Maltego về các liên kết tới domain actvn.edu.vn
28
Hình 2.10. Xác định các máy đang hoạt động sử dụng giao thức ICMP 30

Hình 2.11. Ví dụ về Ping
30
Hình 2.12. Advanced IP Scanner
31
Hình 2.13. Angry IP Scanner 31
Hình 2.14. Truyền tin TCP dựa trên bắt tay ba bước 32
Hình 2.15. TCP Connect Scan 32
Hình 2.16. Stealth Scan 33
Hình 2.17. XMAS Scan 33
Hình 2.18. FIN Scan
33
Hình 2.19. NULL Scan 34
Hình 2.20. Client gửi yêu cầu kết nối tới Zombie để thăm dị IPID 34
Hình 2.21. Server gửi gói tin SYN/ACK cho Zombie nếu cổng mở 35
Hình 2.22. Server gửi gói tin RST cho Zombie nếu cổng đóng
35

ix


Hình 2.23. Kết quả quét cổng và hệ điều hành trên máy chủ actvn.edu.vn sử
dụng Nmap 36
Hình 2.24. Thử tấn cơng bẻ mật khẩu trong hệ điều hành Windows
42
Hình 2.25. Dị qt điểm yếu sử dụng Retina
50
Hình 2.26. Kết quả dị qt từ Retina
50
Hình 2.27. Khai thác điểm yếu RPC DCOM sử dụng Metasploit 51
Hình 2.28. Kết quả khai thác sử dụng Metasploit

51
Hình 2.29. Stack Overflow
67
Hình 2.30. Heap Overflow
68
Hình 2.31. Ví dụ về tấn cơng giả mạo ARP86
Hình 2.32. Nmap 135
Hình 2.33. Yêu cầu tem thời gian ICMP 136
Hình 2.34. IKE Scanning
137
Hình 2.35. Aggressing IKE Scanning
137
Hình 2.36. Sử dụng Nmap quét các dịch vụ của Router
138
Hình 2.37. Router Server với HTTP 139
Hình 2.38. Application Fingerprinting
139
Hình 2.39. Scan cổng UDP
140
Hình 2.40. Finger 143
Hình 2.41. onesixtyone 143
Hình 2.42. Hydra 144
Hình 2.43. Cisco Global Exploiter 146
Hình 2.44. Dùng Cisco Global Exploiter khai thác
147
Hình 2.45. Tấn cơng HSRP 148
Hình 2.46. HSRP DoS 149
Hình 2.47. Etercap
150
Hình 2.48. Sơ đồ mã hóa bằng WEP 157

Hình 2.49. Messages trao đổi trong quá trình authentication 159
Hình 2.50. bắt tay 4 bước EAPOL 168
Hình 3.1. Danh sách tên thủ tục lưu trữ 177
Hình 3.2. Các cơng cụ MS SQL Server trong Metasploit
179
x


Hình 3.3. Sử dụng mssql_login quét tài khoản “sa” của SQL Server
Hình 3.4. Sử dụng mssql_payload khai thác điểm yếu SQL Server 181
Hình 3.5. Meterpreter Shell trên MS MSQL Server 182
Hình 3.6. Thực thi mssql_enum
182
Hình 3.7. Kết quả mssql_enum
183
Hình 3.8. Các tùy chọn khai thác SQL Server sử dụng Fast-Track 184
Hình 3.9. Kết quả khai thác SQL Server sử dụng Fast-Track185
Hình 3.10. Khởi chạy cơng cụ sid_brute 189
Hình 3.11. Ví dụ nội dung file oracle_default_passwords.cvs 190
Hình 3.12. Kết quả oracle_login
191
Hình 3.13. Thử nghiệm với opwg.sh 192
Hình 3.14. Thực thi oraenum 193
Hình 3.15. Quy trình kiểm thử OWASP 198
Hình 3.16. Tấn cơng LDAP 211
Hình 3.17. Burp Suite 218
Hình 3.18. Acunetix Web Vulnerability Scanner 220
Hình 3.19. IBM Rational AppScan 221
Hình 3.20. Quét ứng dụng Web với Nikto 223
Hình 3.21. Sử dụng Nikto quét với các tùy chọn 224

Hình 3.22. Kết quả quét với Nikto 224
Hình 3.23. Quét điểm yếu ứng dụng Web với Grendel-Scan 225
Hình 3.24. Quét fimap 227
Hình 3.25. Kết quả quét bằng fimap 228
Hình 3.26. Quét bằng SQLiX 229
Hình 3.27. Sử dụng sqlmap quét lỗ hổng SQL Injection
230
Hình 3.28. Kết quả thu được từ sqlmap 231
Hình 3.29. DirBuster 232
Hình 4.1. Các tiêu chuẩn ISO trong bộ tiêu chuẩn ISO 27000
235
Hình 5.1. Rủi ro mức cao
245
Hình 5.2. Rủi ro mức trung bình
245
Hình 5.3. Rủi ro mức thấp
245
xi

180


Hình 5.4. Cấu trúc Website đánh giá
Hình 5.5. Cấu trúc mạng đánh giá 247

247

xii



LỜI NĨI ĐẦU
Ngày nay vấn đề an tồn thơng tin được xem là một trong những quan tâm
hàng đầu của xã hội, có ảnh hưởng rất nhiều đến hầu hết các ngành khoa học tự
nhiên, kỹ thuật, khoa học và kinh tế. Đảm bảo an tồn thơng tin khơng chỉ dừng
lại ở các cơ quan, tổ chức mà đã là vấn đề cấp thiết của cả chính phủ, quốc gia.
Đảm bảo an tồn thơng tin cần mang tính hệ thống, được giải quyết một cách
đồng bộ theo các hướng điều chỉnh pháp luật. Trong đó, một vấn đề có tính then
chốt là đánh giá và kiểm định an toàn cho các hệ thống thơng tin.
Giáo trình “Đánh giá và kiểm định an tồn thơng tin” được xây dựng nhằm
mục đích cung cấp các khái niệm, những kiến thức cơ bản về đánh giá và kiểm
định an toàn cho một hệ thống mạng công nghệ thông tin (gọi tắt là hệ thống
thơng tin), giúp học viên có được cái nhìn tổng quát và nắm được các phương
pháp, cách thức để có thể đánh giá một hệ thống thơng tin an tồn.
Nội dung giáo trình gồm 5 chương:
Chương 1: Tổng quan về đánh giá và kiểm định an tồn hệ thống thơng
tin
Chương này cung cấp các khái niệm tổng quan về đánh giá, kiểm định an
tồn hệ thống thơng tin và giới thiệu về các kỹ thuật đánh giá, các bước thực hiện
đánh giá cùng một số tiêu chuẩn áp dụng trong lĩnh vực đánh giá an tồn hệ
thống thơng tin hiện nay.
Chương 2: Đánh giá an toàn hệ thống và các thiết bị mạng
Chương này cung cấp các kiến thức để thực hiện đánh giá an toàn cho hệ
điều hành Windows, Linux; các thiết bị mạng: Switch, Router, Firewall, hệ thống
IDS/IPS, … và đánh giá an tồn mạng khơng dây. Đồng thời cũng giới thiệu một
số công cụ hỗ trợ đánh giá cho các hệ điều hành và thiết bị mạng ở trên.
Chương 3: Đánh giá an toàn cơ sở dữ liệu và ứng dụng Web
Chương này cung cấp các kiến thức để thực hiện đánh giá an toàn cho hệ
quản trị cơ sở dữ liệu SQL Server, Oracle và đánh giá an toàn ứng dụng Web.

xiii



Ngồi ra cũng giới thiệu một số cơng cụ hỗ trợ cho đánh giá cơ sở dữ liệu và ứng
dụng Web.
Chương 4: Kiểm định an tồn hệ thống thơng tin
Chương này cung cấp các kiến thức về quy trình thực hiện kiểm định an
tồn cho một hệ thống thơng tin. Quy trình này dựa theo bộ tiêu chuẩn ISO
27001:2005.
Chương 5: Báo cáo kết quả đánh giá và kiểm định
Sau khi thực hiện đánh giá và kiểm định, một vấn đề rất quan trọng và cần
thiết là lập báo cáo. Chương này cung cấp các kiến thức cần thiết để lập báo cáo
đánh giá và kiểm định, đồng thời cũng đưa ra một số mẫu báo cáo tham khảo
giúp học viên dễ tiếp hơn khi thực hiện lập báo cáo.
Giáo trình này được viết lần đầu tiên và trong thời gian ngắn, do đó chắc
chắn sẽ cịn nhiều khiếm khuyết về nội dung cũng như phương pháp thể hiện.
Chúng tôi rất mong nhận được những ý kiến đóng góp của các đồng nghiệp và
các bạn đọc, sinh viên xa gần để hồn chỉnh tiếp trong q trình thực hiện
Hà nội, tháng 10 năm 2013
Nhóm biên soạn

xiv


CHƯƠNG 1. TỔNG QUAN VỀ ĐÁNH GIÁ VÀ KIỂM ĐỊNH
AN TỒN HÊ THỐNG THƠNG TIN
1.1. KHÁI NIỆM ĐÁNH GIÁ VÀ KIỂM ĐỊNH AN TỒN HỆ THỐNG
THƠNG TIN
Để đảm bảo an tồn an ninh cho hệ thống thơng tin, việc đánh giá và
kiểm định là vô cùng cần thiết. Đánh giá giúp cho người quản trị biết được
các lỗ hổng tồn tại trong hệ thống mạng để có thể kịp thời khắc phục, còn

kiểm định nhằm khẳng định hệ thống mạng đảm bảo an toàn đúng theo các
quy định, tiêu chuẩn đã đề ra. Sau đây chúng ta sẽ đi nghiên cứu cụ thể về các
vấn đề này để có thể hiểu và vận dụng đảm bảo an toàn cho hệ thống mạng
công nghệ thông tin.
1.1.1. Khái niệm đánh giá an tồn hệ thống thơng tin
Sau một thời gian hoạt động, hầu hết các hệ thống mạng đều xuất hiện
các điểm yếu mà kẻ tấn cơng hồn tồn có thể lợi dụng để thực hiện chiếm
quyền điều khiển hệ thống, đánh cắp các dữ liệu quan trọng trong hệ thống
hoặc cài cắm các chương trình có hại tới hệ thống. Các điểm yếu này thường
do lỗi cấu hình từ phía người quản trị, hoặc điểm yếu tồn tại trong chính các
phiên bản của hệ điều hành, của các ứng dụng, trong các thiết bị mạng từ phía
người sản xuất. Do vậy kịp thời phát hiện ra các điểm yếu là rất quan trọng.
Bởi lẽ khi phát hiện ra các điểm yếu, người quản trị có thể có các biện pháp
khắc phục điểm yếu trước khi bị các hacker lợi dụng tấn công. Để làm được
việc này, chúng ta cần phải đi thực hiện đánh giá an toàn cho hệ thống (gọi
khác đi là kiểm thử an toàn cho hệ thống)

1


Đánh giá an tồn hệ thống thơng tin là một tập hợp các phương pháp
nhằm xác định các điểm yếu trong hệ thống mạng bằng cách mô phỏng các
tấn công từ bên ngoài hoặc bên trong hệ thống.
Trong một hệ thống mạng có rất nhiều các thành phần: hệ điều hành,
các thiết bị mạng, các thiết bị an toàn, webserver và ứng dụng web, cơ sở dữ
liệu, …. Mỗi thành phần khác nhau lại xuất hiện các điểm yếu khác nhau và
cũng vơ cùng đa dạng. Ví dụ đối với hệ điều hành Windows, mặc dù
Microsoft liên tục tung ra các bản cập nhật sửa lỗi cho hệ điều hành, tuy nhiên
các điểm yếu tồn tại trong các phiên bản của các hệ điều hành Windows 7,
Windows 8, Windows Server 2008, Windows Server 2012 vẫn còn rất nhiều

và liên tục được cập nhật qua các CVE; hay đối với ứng dụng Web, kẻ tấn
cơng lại có thể lợi dụng tấn công SQL Injection, XSS, Directory Travelsal để
đánh cắp cơ sở dữ liệu, thực hiện các hành vi bất hợp pháp tới Website; …
Chính vì thế, khi thực hiện đánh giá an tồn hệ thống thơng tin cần phải thực
hiện đánh giá toàn bộ các thành phần của hệ thống từ đó mới có thể xác định
đầy đủ, tổng quát về các nguy có thể ảnh hưởng đến hệ thống.
1.1.2. Khái niệm kiểm định an tồn hệ thống thơng tin
Đánh giá an tồn hệ thống thơng tin là một phần trong q trình đảm
bảo an tồn cho hệ thống thơng tin. Kết quả của q trình đánh giá an tồn
thơng tin là đưa ra một bảng danh sách các kết quả về các điểm yếu tồn tại
trong hệ thống. Tuy nhiên sau khi thực hiện các biện pháp đảm bảo an tồn,
kết quả thu được có như mong đợi hay khơng lại là một vấn đề khác. Để biết
được kết quả đó như thế nào, chúng ta cần phải thực hiện kiểm định, xác minh
lại các kết quả thực hiện trong q trình đảm bảo an tồn cho hệ thống thơng
tin.
Kiểm định an tồn hệ thống thơng tin là q trình kiểm tra, quan sát
hoặc phân tích đối tượng mạng để đánh giá kết quả thực hiện các phương
pháp đảm bảo an tồn thơng tin của đối tượng và cấp chứng nhận nếu đáp
ứng được các yêu cầu đặt ra.
Thông thường khi áp dụng các biện pháp đảm bảo an toàn thơng tin,
các tổ chức thường lựa chọn cho mình một tiêu chuẩn nhất định. Tiêu chuẩn
đó vừa phù hợp với tiêu chí đặt ra của tổ chức vừa là căn cứ để kiểm tra đánh
2


giá. Hiện nay trên thế giới, tiêu chuẩn được áp dụng rộng rãi và phổ biến nhất
giúp bảo vệ an tồn cho hệ thống thơng tin là tiêu chuẩn ISO 27002. Và đi
liền với tiêu chuẩn thực hiện là tiêu chuẩn kiểm tra - ISO 27001, chính là tiêu
chuẩn áp dụng để thực hiện kiểm định an toàn cho hệ thống thơng tin và có
chứng nhận đi kèm nếu các kết quả kiểm định là đạt yêu cầu.

1.2. PHÂN BIỆT ĐÁNH GIÁ VÀ KIỂM ĐỊNH AN TỒN HỆ THỐNG
THƠNG TIN
“Đánh giá” và “Kiểm định” đều là những hành động nhằm đảm bảo an
tồn hệ thống thơng tin. Các cơng việc này vừa có những điểm chung lại vừa
có những điểm riêng.
Điểm chung trong “Đánh giá” và “Kiểm định” thể hiện ở việc cả hai
hành động đều là thực hiện rà sốt, kiểm tra các khía cạnh an tồn trong hệ
thống thông tin, nhằm phát hiện ra các vi phạm an ninh để từ đó đưa ra các
hành động xử lý.
Tuy nhiên, mục tiêu của đánh giá an toàn hệ thống thơng tin là tìm ra
các điểm yếu tồn tại trong hệ thống, để từ đó có các biện pháp khắc phục
trước khi bị kẻ xấu lợi dụng. Còn mục tiêu của kiểm định an tồn hệ thống
thơng tin là để chứng minh hệ thống đã áp dụng đúng, đầy đủ các yêu cầu cần
thiết để đảm bảo an toàn cho hệ thống thông qua chứng nhận kiểm định. Việc
đánh giá được thực hiện bởi một cá nhân, một nhóm hoặc một tổ chức và chỉ
cần thống nhất giữa các bên liên quan; còn việc kiểm định phải do một cơ
quan có thẩm quyền, được nhà nước cho phép mới có thể thực hiện.
Hiện tại ở Việt Nam có rất nhiều các cơ quan tổ chức có thể thực hiện
đánh giá an tồn thơng tin, tuy nhiên mới chỉ có QUACERT – Trung tâm
chứng nhận phù hợp – trực thuộc Tổng cục Tiêu chuẩn Đo lường Chất lượng
là có thể thực hiện kiểm định an tồn thơng tin và cấp chứng nhận theo tiêu
chuẩn ISO 27001.

3


1.3. CÁC KỸ THUẬT ĐÁNH GIÁ AN TOÀN HỆ THỐNG THÔNG
TIN
1.3.1. Đánh giá hộp trắng
Đánh giá hộp trắng là kỹ thuật đánh giá an tồn thơng tin trong đó

người đánh giá được biết tồn bộ các thơng tin liên quan đến mục tiêu đánh
giá, bao gồm:
 Bản đồ mạng: Sơ đồ bố trí tồn bộ hệ thống mạng, vị trí thiết đặt
Switch, Router, Firewall, IDS/IPS, …. và địa chỉ IP cụ thể của
từng trang thiết bị.
 Tài khoản và mật khẩu đăng nhập vào hệ thống, thiết bị mạng,
Website, …
 Các nguy cơ thường xảy đến đối với hệ thống (nếu có).
 Mã nguồn ứng dụng và một số vấn đề khác liên quan.
Kỹ thuật đánh giá hộp trắng cho phép thực hiện đánh giá theo một khía
cạnh tồn diện, nhìn nhận được tất cả vấn đề liên quan đến tổng thể hệ thống.
Tuy nhiên kỹ thuật này đòi hỏi độ phức tạp cao đặc biệt khi thực hiện đánh
giá mã nguồn. Với khối lượng lớn các mã dòng lệnh và mối liên hệ phức tạp
trong ứng dụng thì rõ ràng việc tiếp cận bằng quan sát mã nguồn không phải
đơn giản. Hơn nữa, không phải ứng dụng nào cũng dễ dàng có được mã
nguồn phát triển cho người kiểm tra có thể quan sát.
Trong thực tế, kỹ thuật đánh giá hộp trắng thường ít được sử dụng bởi
lẽ khơng phải kẻ tấn cơng nào cũng có thể tiếp cận, hiểu sâu sắc về hệ thống
như một người quản trị hệ thống. Kỹ thuật này chỉ sử dụng khi thời gian và
kinh phí hạn chế.
1.3.2. Đánh giá hộp đen
Đánh giá hộp đen là kỹ thuật đánh giá an tồn thơng tin trong đó người
đánh giá hồn tồn khơng nắm được bất kỳ thông tin nào về hệ thống đánh
giá, mà chỉ có một số thơng tin cơ bản như: tên công ty, địa chỉ thực hiện đánh
giá, mục tiêu đánh giá, ….
Để thực hiện đánh giá, người đánh giá cần đóng vai trị như 1 kẻ tấn
cơng, thực hiện các bước thu thập thơng tin về mục tiêu, phân tích thông tin
4



và tiến hành các thử nghiệm tấn cơng để tìm ra các điểm yếu tồn tại trong hệ
thống.
Kỹ thuật đánh giá hộp đen được cho là kỹ thuật đánh giá chính xác và
thực tế nhất. Kỹ thuật này hiện thường được các tổ chức áp dụng để đánh giá
cho các hệ thống mạng, Website. Thời gian thực hiện một lần đánh giá khoảng
2 đến 3 tháng cho toàn bộ hệ thống.
1.3.3. Đánh giá hộp xám
Đánh giá hộp xám là kỹ thuật đánh giá an tồn thơng tin trong đó người
đánh giá có được một phần thơng tin về mục tiêu đánh giá, như:
 Bản đồ mạng: Sơ đồ bố trí tồn bộ hệ thống mạng, vị trí thiết đặt
Switch, Router, Firewall, IDS/IPS, ….
 Tài khoản và mật khẩu đăng nhập vào hệ thống, thiết bị mạng,
Website, … Các tài khoản này là tài khoản người dùng bình
thường, chứ khơng phải tài khoản quản trị.
Kỹ thuật đánh giá hộp xám tương tự như kỹ thuật đánh giá hộp đen.
Tuy nhiên thay vì đóng vai trị như một người sử dụng cuối, người đánh giá
có thể đóng vai trị như một người dùng bình thường trong hệ thống và thực
hiện các thử nghiệm tấn công về leo thang đặc quyền vào hệ thống.
Trong thực tế, kỹ thuật này thường ít được sử dụng bởi vì đứng trên vai
trị là người quản trị hệ thống, muốn được đánh giá một cách khách quan theo
kỹ thuật đánh giá hộp đen. Ngồi ra các thơng tin được cung cấp cũng khơng
giúp ích nhiều cho người đánh giá. Nếu một hệ thống có điểm yếu, có thể
thực hiện tấn cơng thì người đánh giá cũng có thể sử dụng các phương pháp
thu thập thông tin để thu được các thông tin tương tự các thông tin được cung
cấp từ trước.
1.4. CÁC BƯỚC THỰC HIỆN ĐÁNH GIÁ VÀ KIỂM ĐỊNH AN TỒN
HỆ THỐNG THƠNG TIN
Để thực hiện đánh giá và kiểm định an tồn hệ thống thơng tin, người
đánh giá hoặc kiểm định cần phải có một quy trình thực hiện nhất định. Thơng
thường, quy trình thực hiện gồm có 3 bước như sau:

 Lập kế hoạch và chuẩn bị
5


 Thực hiện đánh giá (hoặc kiểm định)
 Lập báo cáo (hoặc cấp chứng nhận)
1.4.1. Lập kế hoạch và chuẩn bị
Lập kế hoạch và chuẩn bị là bước đầu tiên trong quy trình thực hiện
đánh giá hoặc kiểm định an tồn cho một hệ thống thơng tin. Trong bước này,
người đánh giá hoặc kiểm định phải lên kế hoạch chi tiết các cơng việc sẽ
thực hiện trong q trình đánh giá, kiểm định tới mục tiêu cụ thể; và trao đổi
thỏa thuận giữa các bên liên quan để có được các quy định chung làm cơ sở
pháp lý cho các hoạt động diễn ra trong suốt quá trình thực hiện.
Các cơng việc chính trong q trình lập kế hoạch và chuẩn bị bao gồm:
 Xác định mục tiêu, phạm vi thực hiện đánh giá, kiểm định
 Xác định thời gian thực hiện
 Thống nhất phương pháp thực hiện, các công cụ hỗ trợ trong q
trình thực hiện
 Kinh phí thực hiện
 Các thủ tục, giấy tờ liên quan
1.4.2. Thực hiện đánh giá và kiểm định
Sau khi có được các thỏa thuận về mục tiêu, phương pháp, đối tượng và
thời gian thực hiện, bước tiếp theo trong quy trình đánh giá và kiểm định an
tồn hệ thống thơng tin là tiến hành thực hiện đánh giá, kiểm định. Đây là giai
đoạn mấu chốt và quan trọng nhất, chiếm 90% thời gian trong tồn bộ quy
trình.
Trong bước này, đối với việc đánh giá an tồn hệ thống thơng tin, người
đánh giá cần phải thực hiện các nhiệm vụ:
 Thu thập thông tin
 Dò quét, điểm danh và lập bản đồ mạng

 Xác định các dịch vụ đang hoạt động
 Xác định lỗ hổng
 Thực hiện xâm nhập

6


Với các kỹ thuật đánh giá hộp trắng hoặc đánh giá hộp xám, người
đánh giá đã có một phần hoặc tồn bộ các thơng tin liên quan đến mục tiêu
đánh giá thì sẽ bỏ quả một số bước như trên mà chủ yếu tập trung vào xác
định lỗ hổng và thực hiện thử xâm nhập. Tuy nhiên với kỹ thuật đánh giá hộp
đen, người đánh giá chưa có bất kỳ thơng tin nào về mục tiêu thì sẽ cần thực
hiện tồn bộ các nhiệm vụ để có thể thực hiện đánh giá.
Để thực hiện đánh giá an toàn hệ thống thơng tin, người đánh giá có thể
áp dụng theo các tiêu chuẩn đánh giá. Trong các tiêu chuẩn đã có những
hướng dẫn và cụ thể về các bước thực hiện cho từng nhiệm vụ cần thực hiện.
Các tiêu chuẩn này sẽ được trình bày chi tiết trong phần sau.
Tương tự như đánh an tồn hệ thống thơng tin, đối với kiểm định an
tồn hệ thống thơng tin, sau khi xác định được đối tượng và phạm vi kiểm
định, người kiểm định cũng cần thực hiện các công việc để xác định khả năng
đáp ứng về an tồn thơng tin của hệ thống. Các công việc này thường được
thực hiện thông qua việc kiểm tra, hoặc phỏng vấn các đối tượng liên quan
như bộ phận quản trị mạng, trưởng phòng, nhân viên trong phịng, …. Các
thơng tin thu được từ kết quả kiểm định sẽ được tổng hợp cho và là cơ sở xác
định cho bước tiếp theo.
1.4.3. Lập báo cáo và cấp chứng nhận
Sau khi thực hiện đánh giá, người đánh giá sẽ có được các thơng tin chi
tiết về các điểm yếu trong hệ thống và mức độ nghiêm trọng của các điểm
yếu. Để thể hiện một cách đầy đủ và tổng quát về kết quả đánh giá, người
đánh giá cần phải thực hiện bước cuối cùng, đó là lập báo cáo và làm sạch các

vấn đề liên quan.
Lập báo cáo là ghi lại toàn bộ các hành động thực hiện trong q trình
thực hiện đánh giá thơng qua một văn bản cụ thể về:
 Thời gian thực hiện
 Cách thức thực hiện
 Các kết quả thu được trong quá trình thực hiện
 Các khuyến nghị và đề xuất phương án giải quyết đối với các
điểm yếu phát hiện được
 Một số vấn đề khác liên quan
7


Đối với kiểm đinh an tồn hệ thống thơng tin, sau khi thực hiện kiểm
định, nếu hệ thống mạng đạt được các yêu cầu đề ra thì sẽ được xem xét cấp
chứng nhận đảm bảo an tồn thơng tin. Chứng nhận này có thời gian hiệu lực
trong 3 năm.
1.5. MỘT SỐ TIÊU CHUẨN ĐÁNH GIÁ AN TỒN HỆ THỐNG
THƠNG TIN
Hiện nay có rất nhiều các phương pháp và tiêu chuẩn được giới thiệu
nhằm hướng dẫn thực hiện đánh giá an tồn cho hệ thống thơng tin. Tiêu biểu
trong số đó là 4 tiêu chuẩn đánh giá được thế giới công nhận và thường được
các tổ chức áp dụng đánh giá cho hệ thống thơng tin, đó là:


Phương pháp đánh giá an tồn hệ thống thơng tin – ISSAF



Phương pháp mở đánh giá an tồn thủ cơng – OSSTMM




Dự án mở về bảo mật ứng dụng Web – OWASP



Hướng dẫn kiểm tra và đánh giá an tồn thơng tin của Viện tiêu

chuẩn và công nghệ Hoa Kỳ - NIST Technical Guide to Information Security
Testing and Assessment.
1.5.1. Phương pháp ISSAF
Information System Security Assessment Framework (ISSAF) là
phương pháp đánh giá an toàn hệ thống thông tin của tổ chức OISSG, ra đời
năm 2003. ISSAF là một phương pháp đánh giá an toàn mở. Khung làm việc
của nó được phân vào một số loại lĩnh vực giải quyết các đánh giá an ninh
theo một trình tự. Mỗi lĩnh vực đánh giá các bộ phận khác nhau của một hệ
thống mục tiêu và cung cấp dữ liệu đầu vào cho nhóm cơng việc an ninh
thành công. ISSAF phát triển tập trung vào hai lĩnh vực: quản lý và kỹ thuật.
Mặt quản lý thực hiện quản lý nhóm cơng việc và các kinh nghiệm thực tế tốt
nhất phải được tuân thủ trong suốt quá trình đánh giá, trong khi mặt kỹ thuật
thực hiện bộ quy tắc cốt lõi, thủ tục cần tuân thủ và tạo ra một quy trình đánh
giá an ninh đầy đủ.
Phương pháp đánh giá an toàn của ISSAF bao gồm 3 giai đoạn tiếp cận
và 9 bước đánh giá đó là:

8


Hình TỔNG QUAN VỀ ĐÁNH GIÁ VÀ KIỂM ĐỊNH AN TỒN HÊ THỐNG THƠNG
TIN.1. Sơ đồ phương pháp đánh giá của ISSAF


Giai đoạn 1: Lên kế hoạch và chuẩn bị
Đây là giai đoạn trao đổi thông tin ban đầu, lập kế hoạch và chuẩn bị
cho đánh giá. Ký thỏa thuận đánh giá chính thức làm cơ sở pháp lý. Xác định
thời gian và khoảng thời gian đánh giá, nhóm tham gia đánh giá, hướng leo
thang…
Giai đoạn 2: Đánh giá
Đây là giai đoạn thực sự thực hiện đánh giá. Trong giai đoạn này, một
cách tiếp cận theo lớp được tuân thủ. Có chín lớp đánh giá bao gồm:
 Lớp 1. Thu thập thông tin
 Lớp 2. Lập bản đồ mạng
 Lớp 3. Xác định lỗ hổng
 Lớp 4. Xâm nhập
 Lớp 5. Truy cập & leo thang đặc quyền
9


 Lớp 6. Liệt kê thêm
 Lớp 7. Thỏa hiệp user/site từ xa
 Lớp 8. Duy trì truy cập
 Lớp 9. Xóa dấu vết
Các bước được thực hiện lặp đi lặp lại đại diện bởi các mũi tên vòng
tròn trong giai đoạn đánh giá trong hình 1.2. Đặc biệt chín lớp được mô tả rất
kỹ và giới thiệu rất nhiều phần mềm tương ứng có thể sử dụng trong từng lớp
hoặc tham khảo khi đánh giá. Thông tin chi tiết được trình bày trong phần C –
ISSAF 0.2.1 draft.
Giai đoạn 3: Báo cáo, dọn dẹp và hủy hậu quả
Bao gồm báo cáo bằng lời nói (thực hiện khi có việc đột xuất hoặc vấn
đề quan trọng khi đánh giá an toàn) và báo cáo cuối cùng thực hiện sau khi
hoàn thành tất cả các ca đánh giá được xác định trong phạm vi công việc.

Cuối cùng là dọn dẹp hậu quả, tất cả các thông tin được tạo ra và/hoặc được
lưu trữ trên hệ thống đánh giá cần được loại bỏ khỏi hệ thống này. Nếu không
thể loại bỏ trên một hệ thống từ xa, tất cả những tập tin này (với vị trí của nó)
nên được đề cập trong báo cáo kỹ thuật để các nhân viên kỹ thuật của khách
hàng có thể loại bỏ những báo cáo đã tạo ra.
1.5.2. Phương pháp OSSTMM
Open Source Security Testing Methodology Manual (OSSTMM) – phát
âm là “awstem” – là một dự án của Institute for Security and Open
Methodologies (ISECOM) – tổ chức phi lợi nhuận được thành lập ở New
York, Hoa Kỳ và ở Catalonia, Tây Ban Nha. Dự án này phát triển trong một
cộng đồng mở, với các đối tượng tham gia bình đẳng và khơng ảnh hưởng bởi
chính trị và thương mại. Phương pháp này đã được nâng cấp lên phiên bản
3.0.
Theo OSSTMM, OpSec là một sự phân tách và kiểm sốt. Để một mục
tiêu được an ninh thì nó phải tách khỏi các mối đe dọa có thể tương tác một
cách trực tiếp hoặc gián tiếp tới mục tiêu. An ninh hoàn hảo là trạng thái mà
mục tiêu được tách rời hoàn toàn với mối đe dọa. Thực tế thì mục tiêu mà
khơng tương tác với mơi trường xung quanh thì khơng cịn ý nghĩa gì, vì vậy

10


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×