i ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CNTT VÀ TRUYỀN THÔNG LÊ THỊ HẠNH TÌM HIỂU CÔNG CỤ ĐÁNH GIÁ HỆ THỐNG ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN LUẬN VĂN THẠC SĨ: KHOA HỌC MÁY TÍNH Thái Nguyên, tháng năm 2015 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ii ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CNTT VÀ TRUYỀN THÔNG LÊ THỊ HẠNH TÌM HIỂU CÔNG CỤ ĐÁNH GIÁ HỆ THỐNG ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN Chuyên ngành: Khoa học máy tính Mã số: 60 48 01 LUẬN VĂN THẠC SĨ: KHOA HỌC MÁY TÍNH NGƢỜI HƢỚNG DẪN KHOA HỌC: TS HỒ VĂN HƢƠNG Thái Nguyên, tháng năm 2015 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ iii LỜI CAM ĐOAN Tôi xin cam đoan: Những nội dung luận văn thực dƣới trực tiếp hƣớng dẫn thầy giáo TS Hồ Văn Hƣơng Mọi tham khảo dùng luận văn đƣợc trích dẫn rõ ràng tên tác giả, tên công trình, thời gian, địa điểm công bố Mọi chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, xin chịu hoàn toàn trách nhiệm Thái Nguyên, tháng năm 2015 Học viên Lê Thị Hạnh Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ iv LỜI CẢM ƠN Tôi xin chân thành cảm ơn trƣờng Đại học Công nghệ thông tin Truyền thông – Đại học Thái nguyên, tất thầy giáo, cô giáo tận tình giảng dạy giúp đỡ suốt trình học tập, nghiên cứu Tôi xin bày tỏ lòng biết ơn sâu sắc đến thầy giáo TS Hồ Văn Hƣơng, ngƣời trực tiếp hƣớng dẫn tạo điều kiện thuận lợi giúp đỡ trình thực đề tài Tôi xin trân trọng cảm ơn Ban lãnh đạo, đồng nghiệp trƣờng Cao đẳng Y tế Thanh Hóa ủng hộ dành thời gian để giúp đỡ hoàn thành luận văn Tuy có nhiều cố gắng, nhƣng chắn luận văn có nhiều thiếu sót Rất mong nhận đƣợc góp ý thầy giáo, cô giáo bạn đồng nghiệp Xin chân thành cám ơn! Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ v MỤC LỤC LỜI CAM ĐOAN .i LỜI CẢM ƠN iv DANH SÁCH CÁC HÌNH ẢNH vii DANH SÁCH CÁC TỪ VIẾT TẮT viii MỞ ĐẦU ĐẶT VẤN ĐỀ .1 ĐỐI TƢỢNG VÀ PHẠM VI NGHIÊN CỨU PHƢƠNG PHÁP NGHIÊN CỨU .2 HƢỚNG NGHIÊN CỨU CỦA ĐỀ TÀI BỐ CỤC LUẬN VĂN Ý NGHĨA KHOA HỌC CỦA ĐỀ TÀI CHƢƠNG 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 1.1 Tổng quan hệ thống thông Tin .4 1.1.1 Khái niệm hệ thống thông tin 1.1.2 Các thành phần cấu thành nên hệ thống thông tin 1.1.3 Các nguy an toàn thông tin 1.2 Hệ thống thông tin an toàn bảo mật 1.2.1 Các đặc trƣng hệ thống thông tin an toàn bảo mật 1.2.2 Các biện pháp đảm bảo an toàn hệ thống thông tin 1.3 Một số trang thiết bị đảm bảo an toàn bảo mật thông tin 1.3.1 An toàn bảo mật thông tin thiết bị mạng 1.3.2 An toàn bảo mật thông tin truyền dẫn .10 1.4 Thực trạng an toàn thông tin 10 1.4.1 Thực trạng an toàn thông tin Việt Nam Thế giới .10 1.4.2 Nguy an ninh thông tin cổng thông tin điện tử 12 1.5 Kết luận chƣơng 14 CHƢƠNG 2: NGHIÊN CỨU CÁC KỸ THUẬT PHÂN TÍCH, THÂM NHẬP HỆ THỐNG MẠNG 15 2.1 Nghiên cứu số lỗ hổng cổng thông tin điện tử 15 2.1.1 SQL injection 15 2.1.2 XSS 16 2.1.3 CSRF .18 2.1.4 Tràn đệm 20 2.2 Khai thác công cụ an ninh mạng 21 2.2.1 Công cụ Sniffer-nghe 21 2.2.2 Công cụ hacking 23 2.2.3 Công cụ quét bảo mật website .27 2.3 Tìm hiểu mô ̣t số công cu ̣ quét bảo mật website .30 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ vi 2.3.1 Acunetix Web Vulnerability Scanner .30 2.3.2 Bkav webscan 37 2.3.3 IBM Rational AppScan 40 2.4 Kết luận chƣơng 41 CHƢƠNG 3: ĐÁNH GIÁ, LỰA CHỌN CÔNG CỤ VÀ TRIỂN KHAI ÁP DỤNG 42 3.1 3.2 Đánh giá công cụ dò quét lỗ hổng website .42 Đề xuất quy trình triển khai, đánh giá cổng thông tin điện tử 45 3.2.1 Mục đích 46 3.2.2 Phạm vi áp dụng 46 3.2.3 Mô tả quy trình thực 46 3.2.4 Đánh giá quy trình 48 3.3 Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử trƣờng Cao đẳng Y Tế Thanh Hóa sử dụng công cụ Acunetix 49 3.3.1 Xây dựng kịch đánh giá cổng thông tin điện tử 49 3.3.2 Thực đánh giá 50 3.3.3 Kết đánh giá 54 3.4 Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử tỉnh Thanh Hóa sử dụng công cụ Acunetix 60 3.4.1 Xây dựng kịch đánh giá cổng thông tin điện tử 60 3.4.2 Thực đánh giá 60 3.4.3 Kết đánh giá 61 3.4.4 Kết luận chƣơng 64 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 65 Kết đạt đƣợc 65 Đánh giá chƣơng trình 65 Hƣớng phát triển tƣơng lai 66 DANH MỤC TÀI LIỆU THAM KHẢO 67 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ vii DANH SÁCH CÁC HÌNH ẢNH Hình 1.1 Các thành phần HTTT .5 Hình 1.2 Mô hình CIA Hình 2.1: Quá trình thực XSS .17 Hình 2.2 Sử dụng đĩa Linux Live CD để truy cập file 24 Hình 2.3 Phá mật với Ophcrack 26 Hình 2.4 Quá trình sinh liệu kiểm thử CFG 29 Hình 2.5 Hệ thống kiểm tra lỗ hổng Bkav WebScan 37 Hình 3.1 Màn hình Crawl 51 Hình 3.2 Giao diện Acunetix 52 Hình 3.3 Thông tin server 53 Hình 3.4 Giao diện thực quét 54 Hình 3.5 Kết đánh giá 58 Hình 3.6 Báo cáo tổng hợp 58 Hình 3.7 Báo cáo chi tiết 59 Hình 3.8 Báo cáo lỗi đƣờng dẫn 59 Hình 3.9 Báo cáo kích hoạt mật 59 Hình 3.10 Kết đánh giá 61 Hình 3.11 báo cáo tổng hợp 61 Hình 3.12 Báo cáo chi tiết 62 Hình 3.13 Báo cáo thông tin ngƣời dùng .62 Hình 3.14 Báo cáo lỗi đƣờng dẫn 62 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ viii DANH SÁCH CÁC BẢNG Bảng 3.1 Nội dung quy trình .48 Bảng 3.2 xây dựng kịch 50 Bảng 3.3 Kết theo kịch 56 Bảng 3.4 xây dựng kịch 60 Bảng 3.5 Kết đánh giá theo kịch .63 DANH SÁCH CÁC TỪ VIẾT TẮT Từ viết tắt Nội dung HTTT Hệ thống thông tin ATTT An toàn thông tin USB Universal Serial Bus Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ MỞ ĐẦU ĐẶT VẤN ĐỀ Vấn đề bảo đảm an toàn cho hệ thống thông tin (HTTT) vấn đề quan trọng cần cân nhắc suốt trình thiết kế, thi công, vận hành bảo dƣỡng HTTT Cũng nhƣ tất hoạt động khác đời sống xã hội, từ ngƣời có nhu cầu lƣu trữ xử lý thông tin, đặc biệt từ thông tin đƣợc xem nhƣ phận tƣ liệu sản xuất, nhu cầu bảo vệ thông tin trở nên thiết Bảo vệ thông tin bảo vệ tính bí mật thông tin tính toàn vẹn thông tin Một số loại thông tin ý nghĩa chúng đƣợc giữ kín giới hạn số đối tƣợng đó, ví dụ nhƣ thông tin chiến lƣợc quân chẳng hạn Đây tính bí mật thông tin Hơn nữa, thông tin đƣợc ngƣời ghi nhớ hữu hạn óc, nên cần phải có thiết bị để lƣu trữ thông tin Nếu thiết bị lƣu trữ hoạt động không an toàn, thông tin lƣu trữ bị sai lệch toàn hay phần, tính toàn vẹn thông tin không đƣợc bảo đảm Khi máy tính đƣợc sử dụng để xử lý thông tin, hiệu xử lý thông tin đƣợc nâng cao lên, khối lƣợng thông tin đƣợc xử lý ngày lớn lên, kéo theo nó, tầm quan trọng thông tin đời sống xã hội tăng lên Nếu nhƣ trƣớc đây, việc bảo vệ thông tin trọng vào vấn đề dùng chế phƣơng tiện vật lý để bảo vệ thông tin theo nghĩa đen từ này, sau, vấn đề bảo vệ thông tin trở nên đa dạng phức tạp Vì vậy, an toàn bảo mật thông tin vấn đề nóng bỏng Đây đấu tranh hồi kết kẻ xấu lợi dụng không gian mạng để rửa tiền, ăn cắp tài khoản hay thực mục đích cạnh tranh không lành mạnh CNTT phát triển đấu tranh bảo đảm an ninh, ATTT tiếp tục liệt Vấn đề ý thức trách nhiệm ngƣời thiết kế hệ thống nhƣ ngƣời sử dụng Xuất phát từ thực tế luận văn sâu vào “Tìm hiểu công cụ đánh giá hệ thống đảm bảo an toàn hệ thống thông tin” ĐỐI TƢỢNG VÀ PHẠM VI NGHIÊN CỨU  Lý thuyết an toàn bảo mật hệ thống thông tin Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/  Thực trạng an toàn thông tin Việt Nam Thế giới  Các kỹ thuật phân tích, thâm nhập hệ thống mạng  Mô ̣t số công cu ̣ quét bảo mật website PHƢƠNG PHÁP NGHIÊN CỨU Sử dụng phƣơng pháp nghiên cứu sau:  Phƣơng pháp nghiên cứu lý thuyết: Tìm hiểu lý thuyết an toàn bảo mật hệ thống thông tin, nguy gây an toàn thông tin, biện pháp đảm bảo an toàn hệ thống thông tin Nghiên cứu kỹ thuật phân tích, thâm nhập hệ thống mạng  Phƣơng pháp thực nghiệm: Lựa chọn, cài đặt công cụ thực thi kiểm thử bảo mật  Phƣơng pháp trao đổi khoa học, lấy ý kiến chuyên gia HƢỚNG NGHIÊN CỨU CỦA ĐỀ TÀI  Nghiên cứu, tìm hiểu vấn đề an toàn hệ thống thông tin  Nghiên cứu kỹ thuật phân tích, thâm nhập hệ thống mạng  Đánh giá hệ thống an toàn, bảo mật thông tin từ xây dựng phát triển công cụ kiểm tra, đánh giá an toàn thông tin BỐ CỤC LUẬN VĂN Luận văn đƣợc chia làm chƣơng: Chƣơng 1: Tổng quan an toàn bảo mật thông tin Chƣơng chủ yếu trình bày vấn đề chung nhƣ: vai trò nhiệm vụ HTTT, yêu cầu hệ truyền thông an toàn bảo mật, trình bày nguy ATTT giới thiệu số trang thiết bị đảm bảo an toàn bảo mật thông tin Chƣơng 2: Nghiên cứu kỹ thuật phân tích, thâm nhập hệ thống mạng Nội dung chƣơng chủ yếu tìm hiểu công cụ an ninh mạng nhƣ sâu vào nghiên cứu, đánh giá ƣu nhƣợc điểm mô ̣t số công cu ̣ quét bảo mật website Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 53  Nhấn Next Bƣớc 3: Hình 3.3 Thông tin server  Hệ thống hiển thị thông tin server cài đặt website  Chọn công cụ phát triển website phần Opimize for following technologies  Nhấn Next Bƣớc 4:  Chọn Login sequence để hệ thống tự động đăng nhập quét, nhấn nút New Login sequence để tạo Login  Nhấn Next Bƣớc 5: Nhấn Finish để bắt đầu quét Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 54 Hình 3.4 Giao diện thực quét 3.3.3 Kết đánh giá Phân tích kết thực đánh giá Danh sách loại lỗi đƣợc hiển thị phần Scan Results Số lỗi loại đƣợc hiển thị số cuối loại Mức độ cảnh báo lỗi: hệ thống hiển thị mức độ cảnh báo an ninh với màu tƣơng ứng  Màu đỏ (level 3): cảnh báo cho lỗi nguy hiểm, đƣa website tình trạng rủi ro cao nhất, dễ bị hack trộm cắp liệu  Màu vàng (level 2): cảnh báo cho lỗi nhƣ thiếu cấu hình máy chủ, mã hóa trang web site dẫn đến tạo điều kiện cho gián đoạn xâm nhập vào máy chủ  Màu xanh da trời: cảnh báo cho lỗi thiếu mã hóa đƣờng truyền liệu bị lỗi đƣờng dẫn thƣ mục Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 55  Màu xanh cây: thông tin cảnh báo cho trang web dễ bị tiết lộ thông tin qua tìm kiếm google dễ bị tiết lộ địa email Hiển thị thông tin chi tiết lỗi đƣợc tìm thấy: nhấn vào lỗi danh sách lỗi phần kết quả, cửa sổ bên phải hiển thị chi tiết lỗi bao gồm:  Mô tả lỗi (Vulnerability description)  Đƣờng dẫn/ nơi chứa file gây lỗi (affected items)  Mức độ nguy hiểm mà lỗi mang lại (The impact of this vulnerability)  Chi tiết tham số, biến đƣợc dùng để test lỗi (attack details)  Cách để fix lỗi (how to fix vulnerability)  Thông tin chi tiết lỗi (detail information)  Các link để tham khảo thêm lỗi (web references) Kết theo kịch bản: STT Trƣờng hợp test CSS - over 40 different XSS variations are tested Kết mong muốn Không bị lỗi XSS Đánh giá Đạt SQL injection Không bị lỗi SQL injection Không đạt Blind SQL/ Xpath injection Không bị lỗi Không đạt Buffer overflows Không bị lỗi tràn nhớ Đạt Không bị lỗi Đạt Không bị lỗi Đạt Download of Code Without Integrity Check Unrestricted Upload of File with Dangerous Type Application error message Không bị lỗi Không đạt Session cookie without secure Không bị lỗi Không đạt Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 56 Trƣờng hợp test STT Kết mong muốn Đánh giá flag set Broken links 10 Weak passwords 11 Không bị lỗi Không đạt Không chứa password dễ nhận biết nhƣ 123456, abcde Error page web server version disclosure Không bị lỗi Đạt Không đạt Không tự động redirect sang 12 URL redirection 13 CSRF Không bị lỗi CSRF 14 GHDB Không bị lỗi Google hacking trang web khác Đạt Đạt Không đạt Bảng 3.3 Kết theo kịch Xuất báo cáo đánh giá Để mở hình báo cáo, nhấn nút Report Toolbar, hệ thống thống hiển thị danh sách loại báo cáo:  Affected Items: báo cáo đƣợc tổ chức theo item bị lỗi Website với chi tiết lỗi đƣợc tìm thấy  Developer: đƣợc dùng cho dev để sẵn sàng cho việc fix bug đƣợc tìm thấy  Execitive Summary: dùng cho quản lý nhóm để xem xét đƣợc tình hình bảo mật website  Quick Report: báo cáo nhanh danh sách lỗ hổng file tham số bị lỗi  Compliance: báo cáo theo số chuẩn nhƣ PCI DSS, OWASP WASC  Scan Comparison: cho phép so sánh với lần quét trƣớc để dễ dàng xác định lỗi đƣợc fix lỗi chƣa đƣợc fix Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 57  Monthly Vulnerabilities: thống kê lỗi đƣợc tìm thấy theo tháng Cách tạo report:  Chọn loại báo cáo chọn "Report Wizard" để tùy chọn liệu đƣợc báo cáo  Display all scan: hệ thống hiển thị danh sách tất lần quét để ngƣời sử dụng chọn lần quét  Filter displayed scan: hệ thống cho phép lọc lần quét để báo cáo  Nhấn Next  Chọn lần quét, lỗi đƣợc báo cáo lần  Tích chọn vào lần quét báo cáo  Nhấn để lỗi đƣợc tìm thấy, chọn lỗi báo cáo  Nhấn next Cách tạo báo cáo: Nhấn nút Generate để tạo báo cáo Xuất báo cáo: Sau tạo báo cáo, hệ thống hiển thị hình chứa báo cáo cho phép ngƣời dùng lƣu lại xuất báo cáo với nhiều định dạng khác  Chọn định dạng xuất báo cáo: PDF, HTML, text, word, BMP  Chọn thông tin: trang, cách hiển thị cho báo cáo xuất  Chọn OK để hoàn thành thao tác xuất báo cáo Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 58 Hình 3.5 Kết đánh giá Hình 3.6 Báo cáo tổng hợp Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 59 Hình 3.7 Báo cáo chi tiết Hình 3.8 Báo cáo lỗi đường dẫn Hình 3.9 Báo cáo kích hoạt mật Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 60 3.4 Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử tỉnh Thanh Hóa sử dụng công cụ Acunetix 3.4.1 Xây dựng kịch đánh giá cổng thông tin điện tử Trƣờng hợp test STT CSS - over 40 different XSS variations are tested Kết mong muốn Không bị lỗi XSS SQL injection Không bị lỗi SQL injection Blind SQL/ Xpath injection Không bị lỗi Buffer overflows Không bị lỗi tràn nhớ Download of Code Without Integrity Check Unrestricted Upload of File with Dangerous Type Application error message Session cookie without secure flag set Broken links 10 Weak passwords 11 Đánh giá Không bị lỗi Không bị lỗi Không bị lỗi Không bị lỗi Không bị lỗi Không chứa password dễ nhận biết nhƣ 123456, abcde Error page web server version disclosure Không bị lỗi Không tự động redirect sang 12 URL redirection 13 CSRF Không bị lỗi CSRF 14 GHDB Không bị lỗi Google hacking trang web khác Bảng 3.4 xây dựng kịch 3.4.2 Thực đánh giá Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 61 Tƣơng tự nhƣ trình thao tác để tạo phiên dò quét nhƣ web http://cyt.edu.vn Ta tạo phiên đánh giá, dò quét tƣơng tự với cổng thông tin tỉnh Thanh Hóa 3.4.3 Kết đánh giá Hình 3.10 Kết đánh giá Hình 3.11 báo cáo tổng hợp Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 62 Hình 3.12 Báo cáo chi tiết Hình 3.13 Báo cáo thông tin người dùng Hình 3.14 Báo cáo lỗi đường dẫn Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 63 Kết đánh giá theo kịch Trƣờng hợp test STT CSS - over 40 different XSS variations are tested Kết mong muốn Không bị lỗi XSS Đánh giá Không đạt SQL injection Không bị lỗi SQL injection Đạt Blind SQL/ Xpath injection Không bị lỗi Đạt Buffer overflows Không bị lỗi tràn nhớ Đạt Không bị lỗi Đạt Không bị lỗi Đạt Không bị lỗi Không đạt Không bị lỗi Không đạt Không bị lỗi Không đạt Download of Code Without Integrity Check Unrestricted Upload of File with Dangerous Type Application error message Session cookie without secure flag set Broken links 10 Weak passwords 11 Error page web server version disclosure Không chứa password dễ nhận biết nhƣ 123456, abcde Không bị lỗi Đạt Không đạt Không tự động redirect sang 12 URL redirection 13 CSRF Không bị lỗi CSRF 14 GHDB Không bị lỗi Google hacking trang web khác Đạt Đạt Không đạt Bảng 3.5 Kết đánh giá theo kịch Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 64 3.4.4 Kết luận chƣơng Trong chƣơng này, luận văn đánh giá đề xuất đƣợc công cụ xây dựng đƣợc quy trình để đánh giá cổng thông tin điện tử Trên sở đó, đánh giá đƣợc quy trình đề xuất mặt ƣu nhƣợc điểm Từ triển khai áp dụng đƣợc thực tiễn thống kê, báo cáo đƣợc kết áp dụng Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 65 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Kết đạt đƣợc Theo yêu cầu đặt ban đầu “Tìm hiểu công cụ đánh giá hệ thống đảm bảo an toàn HTTT”, thời điểm tại, luận văn đạt đƣợc kết sau:  Tác giả tạo đƣợc sở lý thuyết vững chắc, làm tảng cho việc xây dựng công cụ đánh giá an toàn website Trong luận văn tác giả nghiên cứu, đánh giá đƣợc thực trạng vấn đề an ninh an toàn Việt Nam nhƣ Thế giới, từ thấy đƣợc tính cấp thiết việc thẩm định, đánh giá sản phẩm an toàn bảo mật thông tin, cụ thể cổng thông tin điện tử  Tác giả nghiên cứu, tìm tòi đƣa đƣợc giải pháp số lỗ hổng bảo mật thƣờng gặp, hỗ trợ ngƣời quản lý website sửa chữa lỗ hổng  Quan trọng nhất, tác giả lựa chọn đƣợc công cụ đánh giá an toàn website, đánh giá trang web nào, viết ngôn ngữ cài đặt tảng Đánh giá chƣơng trình Những vấn đề đạt đƣợc  Chƣơng trình có khả tự động quét toàn nội dung website  Phát đƣợc hầu hết lỗ hổng thông dụng nhiều lỗ hổng nghiêm trọng khác  Kết đƣợc hiển thị trực quan, cho phép xem thông tin chi tiết lỗ hổng phát đƣợc  Các lỗ hổng đƣợc phân loại theo mức độ nguy hiểm, bao gồm: nhẹ, trung bình trầm trọng, giúp cho ngƣời quản trị có nhìn tổng quan mức độ an toàn website quản lý  Đƣa phƣơng pháp khắc phục lỗ hổng để ngƣời quản trị sửa lỗi trang web  Chƣơng trình cho phép vị trí file bị lỗi Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 66 Những vấn đề hạn chế  Do phải đánh giá tất thành phần website nên thời gian quét số trang web có cấu trúc phức tạp nhiều thời gian  Không làm chủ hết đƣợc sử dụng công cụ, phát số lỗi giới hạn Hƣớng phát triển tƣơng lai Bƣớc đầu, luận văn đạt đƣợc yêu cầu đặt Tuy nhiên, kết khiêm tốn hạn chế mặt thời gian tài liệu Trong thời gian tới, có điều kiện, tác giả cố gắng phát triển thêm nội dung sau:  Tìm hiểu thêm lỗ hổng bảo mật đƣợc công bố, tìm phƣơng pháp dò tìm chúng  Tìm hiểu vấn đề bảo mật sâu để đƣa lời khuyên hiệu  Tìm hiểu vấn đề bảo mật không dừng lại mức độ ứng dụng web, mà phát triển sâu để bảo mật hệ thống mạng dịch vụ  Xây dựng công cụ để dò quét cổng thông tin điện tử áp dụng đƣợc vào thực tế Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 67 DANH MỤC TÀI LIỆU THAM KHẢO Tiếng Việt Hồ Văn Hƣơng (2014), “Nghiên cứu lựa chọn công cụ đánh giá cổng thông tin điện tử”, An toàn thông tin số (030), 39-43 Trịnh nhật tiến(2008), An toàn an toàn thông tin, nhà xuất quốc gia Tiếng Anh Wade Anastasia Jere (2012), IBM Rational Appscan, Equ Press Các trang Web Acunetix Web Vulnerability Scanner, https://www.acunetix.com, [Ngày truy cập: 22 tháng năm 2014] Bkav webscan , http://webscan.bkav.com.vn, [Ngày truy cập: 22 tháng năm 2014] IBM Rational AppScan , https://www.ibm.com, [Ngày truy cập: 22 tháng năm 2014] Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ [...]... hổng trong cổng thông tin điện tử Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 4 CHƢƠNG 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 1.1 Tổng quan về hệ thống thông Tin [2] 1.1.1 Khái niệm hệ thống thông tin Hệ thống thông tin (HTTT) là một hệ thống sử dụng công nghệ thông tin để thu thập, truyền, lƣu trữ, xử lý và biểu diễn thông tin trong một hay nhiều quá trình kinh doanh HTTT phát... thay đổi dữ liệu trên hệ thống, đến việc thay đổi các chính sách bảo mật và vô hiệu hoá các cơ chế bảo mật đã đƣợc thiết lập 1.2 Hệ thống thông tin an toàn và bảo mật 1.2.1 Các đặc trƣng của hệ thống thông tin an toàn và bảo mật Một hệ thống thông tin bảo mật là một hệ thống mà thông tin đƣợc xử lý trên nó phải đảm bảo đƣợc 3 đặc trƣng sau đây:  Tính bí mật (Confidentiality)  Tính toàn vẹn dữ liêụ (Integrity)... Chƣơng 3: Đánh giá, xây dựng công cu ̣ Nội dung chƣơng 3 là đánh giá các công cụ bảo mật Website nhờ vào việc phân tích ƣu nhƣợc điểm của từng công cụ, tìm ra đƣợc công cụ tối ƣu nhất để cài đặt và triển khai thực thi kiểm thử bảo mật 5 Ý NGHĨA KHOA HỌC CỦA ĐỀ TÀI Giúp ngƣời quản trị Website thấy đƣợc tầm quan trọng của việc bảo vệ hệ thống thông tin an toàn và bảo mật Đánh giá lựa chọn đƣợc công cụ tối... chƣơng 1 Chƣơng 1 đã tìm hiểu cơ bản về HTTT và an toàn bảo mật HTTT Trong chƣơng này luận văn cũng đã nghiên cứu, đánh giá đƣợc thực trạng vấn đề mất an ninh an toàn tại Việt Nam cũng nhƣ trên Thế giới, đặc biệt là an ninh trên cổng thông tin điện tử trong những năm qua Do đó, thấy đƣợc tính cấp thiết của việc thẩm định, đánh giá sản phẩm an toàn bảo mật thông tin, cụ thể là cổng thông tin điện tử Số hóa... xây dựng hệ thống xác định thâm nhập IDS (Intrusion Detection System) 1.4 Thực trạng an toàn thông tin 1.4.1 Thực trạng an toàn thông tin ở Việt Nam và trên Thế giới Thực trạng an toàn thông tin ở Việt Nam Thứ trƣởng Bộ TT&TT Nguyễn Minh Hồng đƣa ra nhận định tại Hội thảo Security World 2015, diễn ra sáng 25/3, tại Hà Nội rằng “Việc bảo đảm an toàn, an ninh thông tin trên môi trƣờng mạng đang ngày... http://www.lrc-tnu.edu.vn/ 9  Xây dựng bức tƣờng lửa, tức là tạo một hệ thống bao gồm phần cứng và phần mềm đặt giữa hệ thống và môi trƣờng bên ngoài 1.3 Một số trang thiết bị đảm bảo an toàn và bảo mật thông tin 1.3.1 An toàn và bảo mật thông tin trên các thiết bị mạng Để hệ thống mạng làm việc trơn tru, hiệu quả và khả năng kết nối tới những hệ thống mạng khác đòi hỏi phải sử dụng những thiết bị mạng chuyên... việc bảo vệ các thông tin chống lại các rủi ro, mất mát, phá hủy hay sử dụng không hợp lệ Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về điện tử - viễn thông và công nghệ thông tin không ngừng đƣợc phát triển ứng dụng để nâng cao chất lƣợng và lƣu lƣợng truyền tin thì các quan niệm ý tƣởng và biện pháp bảo vệ thông tin dữ liệu cũng đƣợc đổi mới Bảo vệ an toàn thông tin. .. các chƣơng trình ghi bàn phím để ghi lại những thông tin quan trọng đƣợc nhập từ bàn phím Phát thông tin sai hoặc chấp nhận thông tin sai Nhóm nguy cơ phát thông tin sai hoặc chấp nhận thông tin sai bao gồm những hành vi tƣơng tự nhƣ nhóm ở trên nhƣng mang tính chủ động, tức là có thay đổi thông tin gốc Nếu thông tin bị thay đổi là thông tin điều khiển hệ thống thì mức độ thiệt hại sẽ nghiêm trọng hơn... quản lý của riêng mình về bảo mật hệ thống thông tin Có thể chia các quy tắc quản lý thành một số phần:  Quy tắc quản lý đối với hệ thống máy chủ  Quy tắc quản lý đối với hệ thống máy trạm  Quy tắc quản lý đối với việc trao đổi thông tin giữa các bộ phận trong hệ thống, giữa hệ thống máy tính và ngƣời sử dụng, giữa các thành phần của hệ thống và các tác nhân bên ngoài An toàn thiết bị Lựa chọn các... thay đổi các chính sách an toàn của hệ thống hoặc ngăn chặn hoạt động bình thƣờng của hệ thống Trong thực tế, hình thức tấn công xen giữa Man-in-the-middle (MITM) là một dạng của phƣơng thức phát thông tin sai hoặc chấp nhận thông tin sai Hoạt động của hình thức tấn công này là xen vào một kết nối mạng, đọc lén thông tin và thay đổi thông tin đó trƣớc khi gửi đến cho nơi nhận Giả danh cũng là một dạng ... pháp đảm bảo an toàn hệ thống thông tin 1.3 Một số trang thiết bị đảm bảo an toàn bảo mật thông tin 1.3.1 An toàn bảo mật thông tin thiết bị mạng 1.3.2 An toàn bảo mật thông tin truyền... nên hệ thống thông tin 1.1.3 Các nguy an toàn thông tin 1.2 Hệ thống thông tin an toàn bảo mật 1.2.1 Các đặc trƣng hệ thống thông tin an toàn bảo mật 1.2.2 Các biện pháp đảm. .. thực tế luận văn sâu vào Tìm hiểu công cụ đánh giá hệ thống đảm bảo an toàn hệ thống thông tin ĐỐI TƢỢNG VÀ PHẠM VI NGHIÊN CỨU  Lý thuyết an toàn bảo mật hệ thống thông tin Số hóa Trung tâm Học