Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh MỤC LỤC MỤC LỤC LỜI CÁM ƠN LỜI CAM ĐOAN BẢNG CÁC TỪ VIẾT TẮT MỤC LỤC HÌNH VẼ CHƢƠNG I: ĐẶT VẤN ĐỀ Bài toán triển khai hóa đơn điện tử Yêu cầu toán 11 Cơ sở lý luận 14 Giải pháp lựa chọn 15 4.1 Mức xây dựng mã nguồn ứng dụng 15 4.2 Mức sở liệu 15 4.3 Mức kiến trúc chƣơng trình 15 4.4 Mơ hình triển khai 15 Kết mong đợi 16 CHƢƠNG II: TÌM HIỂU VẤN ĐỀ 17 Các lỗ hổng bảo mật 17 1.1 SQL injection 17 1.1.1 Khái niệm 17 1.1.2 Các kỹ thuật công SQL injection 17 1.2 Cross-Site Scripting (XSS) 20 1.2.1 Khái niệm 20 1.2.2 Nguyên lý hoạt động XSS 20 1.2.3 Phân loại hình thức công XSS 21 1.3 Cross Site Request Forgery (CSRF) 23 1.3.1 Khái niệm 23 1.3.2 Mức độ nguy hiểm 23 1.3.3 Mô tả kỹ thuật 23 Trang 1/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh 1.3.4 Khái niệm Social Engineering 24 Kỹ thuật công từ chối dịch vụ 25 2.1 Nguyên tắc 25 2.2 Các mơ hình cơng DdoS 26 2.2.1 Mơ hình Agent – Handler: 26 2.2.2 Mô hình IRC – Based: 27 2.3 Phân loại công DdoS 27 2.3.1 Làm cạn kiệt băng thông mạng 28 2.3.2 Làm cạn kiệt tài nguyên 28 2.4 DRDoS (Distributed Reflection Denial of Service) 31 2.4.1 Khái niệm: 31 2.4.2 Cách thức thực công DRDoS 31 CHƢƠNG III: GIẢI QUYẾT VẤN ĐỀ 33 Các kỹ thuật phòng chống 33 1.1 Phòng chống từ mức xây dựng mã nguồn ứng dụng 33 1.1.1 Lọc liệu đầu vào 33 1.1.2 Xây dựng truy vấn theo mơ hình tham số hóa 42 1.1.3 Sử dụng Store Procedure / Package 45 1.1.4 Mã hóa đầu 48 1.1.5 Sử dụng Captchar 50 1.1.6 Kiểm tra Referrer 53 1.2 Phòng chống từ mức sở liệu 54 1.2.1 Quản lý liệu nhạy cảm 54 1.2.2 Phân quyền DB 56 1.2.3 Giới hạn IP truy cập vào database 58 1.3 Phịng chống từ mức kiến trúc chƣơng trình 58 1.3.1 Sử dụng web service 58 1.3.2 Giới hạn quyền truy cập web service 60 Mơ hình triển khai 62 2.1 Khái niệm DMZ 62 Trang 2/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh 2.2 Mơ hình thiết kế DMZ 63 2.3 Hiện trạng HCMPC 65 2.4 Mơ hình đề xuất 67 2.5 Một số kiến nghị bổ sung 67 CHƢƠNG IV: KẾT LUẬN 70 Một số kết đạt đƣợc 70 1.1 Quét lỗi SQL Injection 70 1.2 Quét lỗi XSS 71 1.3 Quét lỗi CSRF 72 Hƣớng phát triển đề tài 73 TÀI LIỆU THAM KHẢO 75 Trang 3/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh LỜI CÁM ƠN Để có đồ án này, em xin bày tỏ lòng biết ơn sâu sắc đến thầy cô giáo trường Đại học Bách Khoa Hà Nội nói chung viện Cơng nghệ thơng tin – Truyền thơng nói riêng, người tận tình giảng dạy, truyền đạt cho em kiến thức quý báu thời gian học vừa qua Em xin chân thành cảm ơn thầy giáo hướng dẫn, Tiến sĩ Trần Đức Khánh, Bộ môn Hệ thống Thông tin - Viện Công nghệ Thông tin - Truyền thông, Trường Đại học Bách Khoa Hà Nội nhiệt tình hướng dẫn, bảo cung cấp cho em nhiều kiến thức tài liệu quý suốt trình làm luận văn Nhờ giúp đỡ thầy em hoàn thành luận văn Em xin chân thành cảm ơn cô chú, anh chị, bạn đồng nghiệp phòng Hệ thống giải pháp kinh doanh, Trung tâm công nghệ thông tin – Tập đoàn điện lực Việt Nam, người tạo điều kiện sở vật chất, phương tiện làm việc truyền đạt kinh nghiệm qúy báu cho em thời gian làm việc nghiên cứu đề tài Cuối cùng, xin cảm ơn gia đình, bạn bè, người bên cho động viên lớn lao thời gian thực luận văn Trang 4/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh LỜI CAM ĐOAN Tôi xin cam đoan luận văn cơng trình nghiên cứu thân Các nghiên cứu luận văn dựa tổng hợp lý thuyết hiểu biết thực tế, không chép Trang 5/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh BẢNG CÁC TỪ VIẾT TẮT SQL Structured Query Language (Ngơn ngữ truy vấn có cấu trúc) XSS Cross-Site Scripting CSRF Cross Site Request Forgery DC Data Center DB Database DMZ Demilitarized Zone (vùng phi quân sự) DDoS Distributed Denial of Service DRDoS Distributed Reflection Denial of Service EVN Tập đoàn điện lực Việt Nam CMIS Hệ thống phần mềm Quản lý thông tin khách hàng CSKH Chăm sóc khách hàng HDDT Hóa đơn điện tử CSDL Cơ sở liệu CNTT Công nghệ thông tin EVNIT Trung tâm công nghệ thông tin HCMPC/EVNHCMC Tổng cơng ty điện lực Hồ Chí Minh Trang 6/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh MỤC LỤC HÌNH VẼ Hình - Thống kê lỗ hổng bảo mật chiếm tỷ lệ lớn 12 Hình – Kết quét lỗi SQL Injection có cố 13 Hình – Kết quét lỗi XSS có cố 13 Hình – Mơ hình triển khai dual firewall 15 Hình – Minh họa q trình cơng Stored XSS 21 Hình – Hiển thị kết Stored XSS máy victim 22 Hình – Hiển thị kết Reflected XSS máy victim 22 Hình – Kiến trúc attack-network kiểu Agent – Handler 26 Hình – Kiến trúc attack-network kiểu IRC-Base 27 Hình 10 – BandWith Depletion Attack - Amplification attack 28 Hình 11 –Protocol Exploit Attack: Cơ chế TCP SYN/ACK 29 Hình 12 –Protocol Exploit Attack: Dùng IP khơng có thực 29 Hình 13 –Protocol Exploit Attack: Kết 30 Hình 14 – Sơ đồ mô tả kiểu công DRDOS 32 Hình 11 – Mơ hình triển khai web service 59 Hình 16 – Mơ hình định nghĩa DMZ 63 Hình 17 – Mơ hình DMZ - single firewall 64 Hình 18 – Mơ hình DMZ - dual firewall 65 Hình 19 – Mơ hình mạng truyền dẫn HCMPC 65 Hình 20 – Hệ thống mạng logic HCMPC 66 Hình 21 – Mơ hình triển khai đề xuất Tổng cơng ty điện lực HCM 67 Hình 22 – Mơ hình lƣu trữ Data Center 68 Hình 23 – Đề xuất bổ sung lớp an ninh bảo mật mạng 69 Hình 24 – Kết quét lỗi SQL Injection – Trƣớc 70 Hình 25 – Kết quét lỗi SQL Injection - Sau 71 Hình 26 – Kết quét lỗi XSS – Trƣớc 71 Hình 27 – Kết quét lỗi XSS - Sau 72 Hình 28 – Kết quét lỗi CSRF – Trƣớc 72 Hình 29 – Kết quét lỗi CSRF - Sau 73 Trang 7/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh CHƢƠNG I: ĐẶT VẤN ĐỀ Bài toán triển khai hóa đơn điện tử Tập đồn Điện lực Việt Nam doanh nghiệp hoạt động với ngành, nghề kinh doanh sản xuất, truyền tải, phân phối kinh doanh mua bán điện năng; huy điều hành hệ thống sản xuất, truyền tải, phân phối phân bổ điện hệ thống điện quốc gia; xuất nhập điện năng; đầu tƣ quản lý vốn đầu tƣ dự án điện; quản lý, vận hành, sửa chữa, bảo dƣỡng, đại tu, cải tạo, nâng cấp thiết bị điện, cơng trình điện; thí nghiệm điện Thực nhiệm vụ cung cấp điện cho nhu cầu phát triển kinh tế - xã hội đất nƣớc, bên cạnh lĩnh vực sản xuất truyền tải điện năng, EVN có tổng cơng ty điện lực kinh doanh điện đến khách hàng Tổng công ty Điện lực miền Bắc (EVN NPC), Tổng công ty Điện lực miền Nam (EVN SPC), Tổng công ty Điện lực miền Trung (EVN CPC), Tổng công ty Điện lực TP Hà Nội (EVN HANOI), Tổng công ty Điện lực TP Hồ Chí Minh (EVN HCMPC), phạm vi bao gồm tồn 63 tỉnh, thành miền Bắc, Trung, Nam Năm 2012, số khách hàng mua điện EVN khoảng 20 triệu khách hàng sử dụng điện (trong khách hàng ký hợp đồng sử dụng điện cho mục đích sinh hoạt chiếm 93,5%), phát hành 242,5 triệu hóa đơn/năm doanh thu xấp xỉ 142 nghìn tỷ đồng/năm Hiện Tổng cơng ty Điện lực sử dụng hình thức hóa đơn tự in hoạt động bán điện theo quy định thống EVN Nghiệp vụ kinh doanh điện Tổng công ty Điện lực bao gồm công tác quản lý thông tin khách hàng, hệ thống đo đếm, hóa đơn tiền điện, hệ thống toán, quản lý lƣới phân phối, quản lý tổn thất, báo cáo kinh doanh, hỗ trợ điều hành, dịch vụ chăm sóc khách hàng Tồn thông tin đƣợc quản lý hệ thống phần mềm Quản lý thông tin khách hàng – CMIS 2.0 Trung tâm Công nghệ Thông tin xây dựng nhằm phục vụ công tác kinh doanh quản lý khách hàng 105 Công ty Điện lực trực thuộc nhƣ công tác quản lý hoạch định chiến lƣợc cấp Tổng Công ty Theo số liệu năm 2012, 05 Tổng công ty Điện lực thuộc EVN phát hành 242,5 triệu hóa đơn bán điện cho khách hàng thuộc địa bàn quản lý Nếu tạm tính chi phí Trang 8/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh in ấn hóa đơn tự in khoảng 500đ/hóa đơn, năm 2012, toàn EVN phải tiêu tốn khoảng 121 tỷ đồng chi phí in hóa đơn, chƣa kể phí lƣu kho liên hóa đơn Với tốc độ tăng trƣởng khách hàng khoảng +5%/năm chi phí in ấn hóa đơn quản lý hóa đơn EVN dự kiến cho năm 2020 khoảng 357 tỷ đồng Với qui mô tốc độ tăng trƣởng tại, Tổng công ty Điện lực thực gặp nhiều thách thức lớn cơng tác kinh doanh Để trì đƣợc toàn bộ máy kinh doanh vận hành ổn định, hiệu nhƣ đáp ứng đƣợc yêu cầu tăng trƣởng hệ thống vòng năm tới, điều kiện sống hệ thống kinh doanh phải tìm giải pháp tiết kiệm chi phí sản xuất, nâng cao hiệu suất lao động, giảm thời gian thu nợ, nâng cao dịch vụ khách hàng nâng cao trình độ quản lý, ứng dụng cơng nghệ thơng tin cho đội ngũ nhân lực, vv… Theo xu hƣớng phát triển tất yếu giới Việt Nam loại hình hóa đơn điện tử hoạt động kinh doanh, giao dịch ngân hàng, tài chính, kế toán, quản lý thuế khả tự động hóa qui trình hệ thống máy tính mạng Internet với ƣu điểm: giảm chi phí in hóa đơn; tăng suất lao động; đa dạng hình thức toán điện tử; nâng cao lực cạnh tranh doanh nghiệp hỗ trợ quan thuế quản lý việc kê khai thuế; việc đƣa vào triển khai nhân rộng hóa đơn điện tử hoạt động kinh doanh bán điện Tổng công ty Điện lực nhu cầu cần thiết Kết triển khai hóa đơn điện tử EVN HCMPC Theo đạo EVN, chƣơng trình hóa đơn điện tử đƣợc Trung tâm Công nghệ thông tin thực xây dựng 05/2012; triển khai thí điểm Cơng ty điện lực Sài Gịn thuộc EVN HCMC từ 09/2012 Đến thời điểm tại, toàn quy trình lập quản lý hóa đơn điện tử đƣợc thực Công ty điện lực Sài Gịn, bao gồm từ khâu lập hóa đơn, ký hóa đơn điện tử phát hành, quản lý thu theo dõi nợ, gửi hóa đơn điện tử cho khách hàng qua email trang Web CSKH Về mặt quy trình nghiệp vụ, phƣơng án triển khai áp dụng hóa đơn điện tử Sài Gịn có số điểm đáng ý nhƣ sau:  Hiệu chỉnh quy trình lập hóa đơn tự in phù hợp với việc lập hóa đơn điện tử Hóa đơn điện tử sau lập xong đƣợc tự động phát hành Trang 9/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh  Hiệu chỉnh quy trình thu theo dõi nợ bổ sung, hiệu chỉnh mẫu in biên nhận toán (thanh toán nhà sử dụng máy POS, toán quầy thu đơn vị, toán quầy đơn vị thu hộ) Tùy theo hình thức toán, khách hàng đƣợc nhận biên nhận toán theo hình thức: o Đối với khách hàng tốn quầy Cơng ty Điện lực: Khách hàng nhận đƣợc biên nhận xác nhận toán theo mẫu EVNHCMC phát hành o Đối với khách hàng toán quầy Ngân hàng đối tác khác có ký hợp đồng dịch vụ thu hộ tiền điện (ngân hàng, bƣu cục,…): Khách hàng nhận đƣợc biên nhận xác nhận tốn theo mẫu có sẵn ngân hàng, đối tác thực dịch vụ thu hộ,… o Ủy nhiệm thu: Khách hàng nhận đƣợc giấy ủy nhiệm thu Công ty Điện lực phát hành có đóng dấu xác nhận toán tiền điện o Ủy nhiệm chi: Khách hàng nhận đƣợc giấy báo nợ, ủy nhiệm chi ngân hàng xác nhận toán tiền điện o Đối với khách hàng toán qua internet: Khách hàng nhận đƣợc xác nhận nhà cung cấp o Đối với khách hàng toán qua hình thức nhắn tin SMS: Tin nhắn SMS đƣợc coi nhƣ chứng từ xác nhận tốn  Hóa đơn điện tử đƣợc gửi cho khách hàng theo hình thức sau: o Qua trang web Chăm sóc khách hàng: khách hàng đăng nhập download Hóa đơn điện tử o Qua email: Hóa đơn điện tử đƣợc đính kèm với email gửi đến địa khách hàng đăng ký trƣớc Đối với hóa đơn điện tử đƣợc trả qua email, hệ thống vào kết chấm nợ sau kết chuyển từ POS chƣơng trình thu hộ để lập danh sách khách hàng cần gửi email Email gửi trả hóa đơn điện tử có định dạng theo mẫu EVN qui định Hệ thống CMIS 2.0 chuyển email vào hàng đợi hệ thống Email Server EVN HCMC Hệ thống Email Server gửi email đến địa khách hàng  Việc kê khai thuế khách hàng tiến hành theo hình thức sau: Trang 10/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh đảm bảo để web application, khơng ứng dụng thực thi đƣợc hàm web service Cách thực Khai báo service nhƣ sau: public class Service_CustomerCare : System.Web.Services.WebService { public AuthenticateHeader Authentication; public cls_Encrypt_Decrypt objEncrypt = new cls_Encrypt_Decrypt(); Khai báo hàm kiểm tra service nhƣ sau: private bool Authen() { try { if (Authentication.AuthenticateString == objEncrypt.Encrypt("Chuỗi Key")) return true; else return false; } catch (Exception ex) { return false; } } Trong hàm nghiệp vụ phía ta viết nhƣ sau [WebMethod] public DataSet getUser(string strUserName, string strPassword) { if (Authen()) { Trang 61/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh busCC.cls_User bus = new busCC.cls_User (); return bus getUser (strUserName, strPassword); } return ReturnError"Không xác thực services!";//trả dataset chứa lỗi } Khi sử dụng service, phải khai báo chuỗi key để xác thực, không hàm không thực thi trả thông báo lỗi Mơ hình triển khai 2.1 Khái niệm DMZ Nhƣ biết hệ thống mạng nội (Intranet network) tổ chức thƣờng bao gồm server cung cấp dịch vụ nhƣ: Directory Service (Active Directory, OpenLDAP…), DNS, DHCP, File/Print Sharing, Web, Mail, FTP Trong server Web, Mail, FTP thƣờng phải cung cấp dịch vụ chúng cho ngƣời dùng nằm bên lẫn bên mạng nội tổ chức Nếu trƣờng hợp đặt tất server nằm lớp mạng với máy trạm ngƣời dùng tổ chức nhƣ hacker từ mạng bên ngồi (Internet) kiểm sốt đƣợc “public server” nhƣ Web, Mail, FTP? Rất hacker dựa vào server bị chiếm đoạt để đánh vào server khác (nhƣ DNS, DHCP, Directory Service…) nhƣ thâm nhập sâu vào máy trạm bên Thế nên đây, ta cần có giải pháp để hạn chế khả mạng Intranet bị tổn thƣơng public server bị công Và DMZ câu trả lời cho vấn đề DMZ mạng tách biệt với mạng Intranet DMZ sử dụng đƣờng mạng (hoặc có subnet) khác với mạng Intranet Và server nhƣ Web, Mail, FTP, VoIP… dịch vụ tổ chức mong muốn ngƣời dùng truy cập sử dụng thơng qua mạng nhƣ Internet đƣợc đặt vùng DMZ Cịn server phục vụ cho mục đích nội nhƣ DNS, DHCP, File/Print… đƣợc đặt vùng Intranet Giữa DMZ mạng external ta đặt firewall phép kết nối từ external đến đƣợc DMZ mà thơi Cịn mạng Intranet DMZ ta đặt Trang 62/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh thêm firewall khác để kiểm soát lƣu lƣợng từ DMZ vào Intranet Nhƣ vậy, giống với vùng DMZ quân sự, DMZ tạo phân tách hai bên đối nghịch nhau: mạng Intranet mạng external Và nói DMZ bổ sung thêm lớp bảo vệ cách ly cho mạng Intranet mà hacker từ mạng ngồi tiếp cận tới máy nằm DMZ mà thơi Hình 16 – Mơ hình định nghĩa DMZ Mạng DMZ thực ẩn chứa nhiều rủi ro mối đe dọa từ phía ngồi mang lại Điển hình nhƣ việc hacker sử dụng hình thức cơng từ chối dịch vụ (DoS/DDoS) nhắm vào server DMZ để làm gián đoạn dập tắt khả đáp ứng yêu cầu dịch vụ server cho ngƣời dùng hợp pháp thông thƣờng Và tạo DMZ cho tổ chức thực phần hệ thống mạng nội mà phải kiểm sốt chúng thật tốt 2.2 Mơ hình thiết kế DMZ Có nhiều cách thiết kế hệ thống mạng có sử dụng DMZ Hai mơ hình thƣờng gặp là: single firewall (hay three legged firewall) dual firewall a) Với single firewall Chúng ta cần tới thiết bị có ba NIC (network interface card) Trong đó, NIC nối với mạng external, NIC thứ hai nối với mạng DMZ, NIC lại nối với mạng Intranet Trang 63/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh Hình 17 – Mơ hình DMZ - single firewall Có thể hình dung lớp DMZ hoạt động giống nhƣ trợ lý giám đốc: request vào từ Internet đến đƣợc lớp DMZ network (trợ lý giám đốc), không thẳng vào lớp Intranet network (giám đốc) đƣợc b) Với dual firewall Chúng ta cần tới hai thiết bị firewall, firewall có hai NIC đƣợc bố trí nhƣ sau: - Firewall thứ (đƣợc gọi front-end firewall) có NIC nối với mạng external (external interface) NIC lại nối với DMZ (Intranet interface) Frontend firewall có nhiệm vụ kiểm soát traffic từ Internet tới DMZ mạng Intranet - Firewall thứ hai (đƣợc gọi back-end firewall) có NIC nối với DMZ (external interface) NIC lại nối với mạng Intranet (Intranet interface) Back-end firewall có nhiệm vụ kiểm sốt traffic từ DMZ Internet tới mạng Intranet Trang 64/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh Hình 18 – Mơ hình DMZ - dual firewall Việc định sử dụng mơ hình tùy thuộc vào trạng thực tế đơn vị, đánh giá sơ sở hạ tầng đơn vị triển khai HCMPC để đề mơ hình thức 2.3 Hiện trạng HCMPC Dƣới hình mơ tả sơ đồ mạng truyền dẫn đƣợc triển khai HCMPC Hình 19 – Mơ hình mạng truyền dẫn HCMPC Hệ thống hạ tầng mạng đƣợc thiết kế nhƣ sau: Trang 65/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh Hình 20 – Hệ thống mạng logic HCMPC Trong đó: hệ thống máy chủ:  phòng máy chủ  Máy chủ vật lý ảo hóa Ứng dụng sở hạ tầng:  Email Exchange 2007  250 users TCT 2500 users điện lực thành viên  Antivirus MCAfee  Dữ liệu lƣu trữ tập trung  Backup sử dụng Symatec Network  Ứng dụng hóa đơn điện tử o Trang web Chăm sóc khách hàng o Triển khai theo mơ hình tập trung TCT o Dữ liệu lƣu trữ tập trung o Backup sử dụng Oracle Trang 66/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh 2.4 Mô hình đề xuất Từ trạng trên, đề xuất sử dụng mơ hình DMZ dual firewall nhƣ hình bên dƣới để triển khai trang web Chăm sóc khách hàng HCMPC: Hình 21 – Mơ hình triển khai đề xuất Tổng công ty điện lực HCM Theo mô hình triển khai trên, trang web Chăm sóc khách hàng đƣợc triển khai lớp mạng DMZ, ngăn cách với lớp mạng Internet firewall Còn máy chủ web service database server đƣợc triển khai lớp Intranet bên trong, ngăn cách với lớp DMZ firewall thứ Để đảm bảo hệ thống ngăn cách hoàn toàn với máy chủ nghiệp vụ bên trong, lớp Intranet thiết lập thêm firewall 2.5 Một số kiến nghị bổ sung Kiến nghị lớp an ninh vật lý  Xây dựng DataCenter đảm bảo điều kiện an ninh vật lý  DataCenter cần đồng liệu chạy chế độ dự phòng Trang 67/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh Hình 22 – Mơ hình lưu trữ Data Center Theo hình 22, liệu đƣợc lƣu trữ datacenter, đƣợc backup chế dataguard Về mặt lý thuyết datacenter phải nằm cách 20-40 km để hạn chế vấn đề thiên tai nhƣ động đất, lũ lụt Nhƣng thực tế triển khai, DC cách tối đa 10km, DC đặt tổng công ty HCMPC, DC cịn lại đặt cơng ty CNTT HCMPC Kiến nghị lớp an ninh bảo mật mạng  Trang bị thiết bị cho phép chạy dự phòng  Tăng cƣờng giải pháp an ninh mạng chuyên dụng  Sử dụng giao thức SSL, IPSec để mã hóa liệu trao đổi đƣờng truyền Trang 68/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh Hình 23 – Đề xuất bổ sung lớp an ninh bảo mật mạng Trang 69/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh CHƢƠNG IV: KẾT LUẬN Một số kết đạt đƣợc Việc áp dụng giải pháp đề tài vào chƣơng trình khơng ảnh hƣởng nhiều đến hiệu thực Qua việc kiểm tra log IIS web server, thời gian thực thi request trung bình tăng từ 0,04 - 0,08s/request Ngồi việc đáp ứng lƣợng request lúc đảm bảo 1200-1500 request lúc Đồng thời kiểm tra lỗ hổng bảo mật phần mềm Acunetix cho kết khả quan 1.1 Quét lỗi SQL Injection Đây hình kết trƣớc thực giải pháp chƣơng trình Hình 24 – Kết quét lỗi SQL Injection – Trước Số lƣợng lỗi trƣớc thực giải pháp đề đề tài 25 lỗi Sau áp dụng giải pháp đề tài vào chƣơng trình, kết hiển thị hình 25: Trang 70/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh Hình 25 – Kết quét lỗi SQL Injection - Sau Nhìn vào hình, phía bên tay phải hiển thị tổng số cảnh báo mà chƣơng trình quét trang web Chăm sóc khách hàng, có cảnh báo màu da cam thuộc textbox nhập liệu dạng mật khẩu, giá trị textbox đƣợc truyền đến Application server dạng khơng mã hóa Đây khơng phải lỗi thực chất giá trị text đƣợc mã hóa request từ Application server đến Webservice Ngồi có cảnh báo màu xanh lƣu ý textbox nhập liệu để thuộc tính AutoComplete Cảnh báo màu đỏ lỗi SQL Injection thực không xuất 1.2 Quét lỗi XSS Đây hình kết trƣớc thực giải pháp chƣơng trình Hình 26 – Kết quét lỗi XSS – Trước Trang 71/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh Số lƣợng lỗi trƣớc thực giải pháp đề đề tài 32 lỗi Sau áp dụng giải pháp đề tài vào chƣơng trình, kết hiển thị hình 27: Hình 27 – Kết quét lỗi XSS - Sau Xem kết quả, chi tiết danh sách cảnh báo, kèm theo mơ tả nội dung cảnh báo, khơng có lỗi XSS thực đƣợc tìm 1.3 Quét lỗi CSRF Đây hình kết trƣớc thực giải pháp chƣơng trình Hình 28 – Kết quét lỗi CSRF – Trước Số lƣợng lỗi trƣớc thực giải pháp đề đề tài 35 lỗi Sau áp dụng giải pháp đề tài vào chƣơng trình, kết hiển thị hình 29 Trang 72/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh Hình 29 – Kết quét lỗi CSRF - Sau Tƣơng tự kết quét lỗi SQL Injection, cảnh báo màu đỏ xuất hình trên, cho thấy lỗi CSRF không tồn trang web đƣợc quét Sau áp dụng giải pháp đề tài, trang web Chăm sóc khách hàng triển khai HCMPC hoạt động tốt Trang web Chăm sóc khách hàng Tập đồn điện lực Việt Nam tiếp tục đƣợc triển khai cho tổng cơng ty điện lực cịn lại gồm: - Tổng cơng ty điện lực Hà Nội - Tổng công ty điện lực Miền Bắc - Tổng công ty điện lực Miền Trung - Tổng công ty điện lực Miền Nam (hiên dựng nội bộ, chƣa cơng khai) Từ cho thấy phƣơng án kỹ thuật đƣa đề tài nhiều có tác dụng Hƣớng phát triển đề tài Các giải pháp đề đề tài đạt mục đích phịng tránh lỗ hổng bảo mật bản, hƣớng phát triển đề tài nằm việc nghiên cứu tìm giải pháp phịng tránh kỹ thuật cơng khác mà phần mềm kiểm thử Acunetix Web Vulnerability Scanner đƣa gồm: - Code Execution - Directory Traversal - File Inclusion Trang 73/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh - Script Source Code Disclosure - Cross Frame Scripting (XFS) - PHP Code Injection - Full Path Disclosure - LDAP Injection - Cookie Manipulation - MultiRequest Parameter Manipulation - File Checks - Checks Backup Files hay Directories – Tìm kiếm tập tin thơng dụng (nhƣ logs, application traces, CVS web repositories) - Checks Script Errors - Directory Checks - Tìm kiếm tập tin quan trọng nhƣ logs, traces, CVS - Discover Sensitive Files/Directories - Kiểm tra quyền gán cho thƣ mục không hợp lệ - Weak Permissions - Web Applications - Text Search - Directory Listings - Source Code Disclosure - Kiểm tra Common Files - Kiểm tra Email Addresses - Microsoft Office Possible Sensitive Information - Local Path Disclosure - Error Messages - GHDB Google Hacking Database - Over 1200 GHDB Search Entries in the Database Trang 74/75 Học viên: Nguyễn Trung Dũng Giáo viên hướng dẫn: TS Trần Đức Khánh TÀI LIỆU THAM KHẢO Anton Rager, Seth Fogie, Jeremiah Grossman, Robert Hansen, Petko D Petkov, Cross Site Scripting Attacks XSS - Exploits and Defense, pp 164-190, 376-394, 396-408 Justin Clarke (2009), SQL Injection Attacks and Defense , pp 2-27, 97-136, 222-224, 342-373 Mehmud Abliz (2011), Internet Denial of Service: Attack and Defense Mechanisms, pp 3-6, 9-10 William Zeller, Edward W Felten (2008), Cross-Site Request Forgeries: Exploitation and Prevention, pp 2-9 Trang 75/75 ... điện lực Khách hàng hiệu chỉnh phần mềm kế tốn để phần mềm kế tốn hiểu đƣợc nội dung hóa đơn điện tử ngành điện phát hành o Sử dụng hóa đơn điện tử chuyển đổi giấy: khách hàng sử dụng thơng tin. .. động kinh doanh bán điện Tổng công ty Điện lực nhu cầu cần thiết Kết triển khai hóa đơn điện tử EVN HCMPC Theo đạo EVN, chƣơng trình hóa đơn điện tử đƣợc Trung tâm Công nghệ thông tin thực xây... ty điện lực Sài Gòn thuộc EVN HCMC từ 09/2012 Đến thời điểm tại, tồn quy trình lập quản lý hóa đơn điện tử đƣợc thực Cơng ty điện lực Sài Gịn, bao gồm từ khâu lập hóa đơn, ký hóa đơn điện tử