i ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CNTT VÀ TRUYỀN THƠNG LÊ THỊ HẠNH TÌM HIỂU CƠNG CỤ ĐÁNH GIÁ HỆ THỐNG ĐẢM BẢO AN TỒN HỆ THỐNG THƠNG TIN LUẬN VĂN THẠC SĨ: KHOA HỌC MÁY TÍNH Thái Nguyên, tháng năm 2015 ii ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CNTT VÀ TRUYỀN THÔNG LÊ THỊ HẠNH TÌM HIỂU CƠNG CỤ ĐÁNH GIÁ HỆ THỐNG ĐẢM BẢO AN TỒN HỆ THỐNG THƠNG TIN Chun ngành: Khoa học máy tính Mã số: 60 48 01 LUẬN VĂN THẠC SĨ: KHOA HỌC MÁY TÍNH NGƯỜI HƯỚNG DẪN KHOA HỌC: TS HỒ VĂN HƯƠNG Thái Nguyên, tháng năm 2015 LỜI CAM ĐOAN Tôi xin cam đoan: Những nội dung luận văn thực trực tiếp hướng dẫn thầy giáo TS Hồ Văn Hương Mọi tham khảo dùng luận văn trích dẫn rõ ràng tên tác giả, tên cơng trình, thời gian, địa điểm cơng bố Mọi chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, tơi xin chịu hồn toàn trách nhiệm Thái Nguyên, tháng năm 2015 Học viên Lê Thị Hạnh LỜI CẢM ƠN Tôi xin chân thành cảm ơn trường Đại học Công nghệ thông tin Truyền thông – Đại học Thái nguyên, tất thầy giáo, giáo tận tình giảng dạy giúp đỡ tơi suốt q trình học tập, nghiên cứu Tơi xin bày tỏ lòng biết ơn sâu sắc đến thầy giáo TS Hồ Văn Hương, người trực tiếp hướng dẫn tạo điều kiện thuận lợi giúp đỡ tơi q trình thực đề tài Tôi xin trân trọng cảm ơn Ban lãnh đạo, đồng nghiệp trường Cao đẳng Y tế Thanh Hóa ủng hộ dành thời gian để giúp đỡ tơi hồn thành luận văn Tuy có nhiều cố gắng, chắn luận văn tơi có nhiều thiếu sót Rất mong nhận góp ý thầy giáo, giáo bạn đồng nghiệp Xin chân thành cám ơn! MỤC LỤC LỜI CAM ĐOAN .i LỜI CẢM ƠN .iv DANH SÁCH CÁC HÌNH ẢNH vii DANH SÁCH CÁC TỪ VIẾT TẮT viii MỞ ĐẦU ĐẶT VẤN ĐỀ 1 ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU PHƯƠNG PHÁP NGHIÊN CỨU .2 HƯỚNG NGHIÊN CỨU CỦA ĐỀ TÀI BỐ CỤC LUẬN VĂN Ý NGHĨA KHOA HỌC CỦA ĐỀ TÀI .3 CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 1.1 Tổng quan hệ thống thông Tin .4 1.1.1 Khái niệm hệ thống thông tin 1.1.2 Các thành phần cấu thành nên hệ thống thông tin 1.1.3 Các nguy an tồn thơng tin 1.2 Hệ thống thơng tin an tồn bảo mật .6 1.2.1 Các đặc trưng hệ thống thông tin an toàn bảo mật 1.2.2 Các biện pháp đảm bảo an tồn hệ thống thơng tin 1.3 Một số trang thiết bị đảm bảo an tồn bảo mật thơng tin 1.3.1 An toàn bảo mật thông tin thiết bị mạng 1.3.2 An tồn bảo mật thơng tin truyền dẫn .10 1.4 Thực trạng an tồn thơng tin 10 1.4.1 Thực trạng an toàn thông tin Việt Nam Thế giới .10 1.4.2 Nguy an ninh thông tin cổng thông tin điện tử 12 1.5 Kết luận chương 14 CHƯƠNG 2: NGHIÊN CỨU CÁC KỸ THUẬT PHÂN TÍCH, THÂM NHẬP HỆ THỐNG MẠNG 15 2.1 Nghiên cứu số lỗ hổng cổng thông tin điện tử .15 2.1.1 SQL injection 15 2.1.2 XSS 16 2.1.3 CSRF .18 2.1.4 Tràn đệm 20 2.2 Khai thác công cụ an ninh mạng 21 2.2.1 Công cụ Sniffer-nghe 21 2.2.2 Công cụ hacking 23 2.2.3 Công cụ quét bảo mật website .27 2.3 Tìm hiểu mơt sơ công cu quét bảo mật website .30 2.3.1 Acunetix Web Vulnerability Scanner .30 2.3.2 Bkav webscan 37 2.3.3 IBM Rational AppScan 40 2.4 Kết luận chương 41 CHƯƠNG 3: ĐÁNH GIÁ, LỰA CHỌN CÔNG CỤ VÀ TRIỂN KHAI ÁP DỤNG 42 3.1 Đánh giá công cụ dò quét lỗ hổng website .42 3.2 Đề xuất quy trình triển khai, đánh giá cổng thông tin điện tử 45 3.2.1 Mục đích 46 3.2.2 Phạm vi áp dụng 46 3.2.3 Mơ tả quy trình thực 46 3.2.4 Đánh giá quy trình 48 3.3 Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử trường Cao đẳng Y Tế Thanh Hóa sử dụng cơng cụ Acunetix 49 3.3.1 Xây dựng kịch đánh giá cổng thông tin điện tử 49 3.3.2 Thực đánh giá 50 3.3.3 Kết đánh giá 54 3.4 Áp dụng quy trình triển khai đánh giá cổng thơng tin điện tử tỉnh Thanh Hóa sử dụng cơng cụ Acunetix 60 3.4.1 Xây dựng kịch đánh giá cổng thông tin điện tử .60 3.4.2 Thực đánh giá 60 3.4.3 Kết đánh giá 61 3.4.4 Kết luận chương 64 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 65 Kết đạt 65 Đánh giá chương trình 65 Hướng phát triển tương lai 66 DANH MỤC TÀI LIỆU THAM KHẢO 67 vii DANH SÁCH CÁC HÌNH ẢNH Hình 1.1 Các thành phần HTTT .5 Hình 1.2 Mơ hình CIA Hình 2.1: Quá trình thực XSS .17 Hình 2.2 Sử dụng đĩa Linux Live CD để truy cập file 24 Hình 2.3 Phá mật với Ophcrack 26 Hình 2.4 Quá trình sinh liệu kiểm thử CFG 29 Hình 2.5 Hệ thống kiểm tra lỗ hổng Bkav WebScan 37 Hình 3.1 Màn hình Crawl 51 Hình 3.2 Giao diện Acunetix 52 Hình 3.3 Thơng tin server 53 Hình 3.4 Giao diện thực quét .54 Hình 3.5 Kết đánh giá 58 Hình 3.6 Báo cáo tổng hợp 58 Hình 3.7 Báo cáo chi tiết .59 Hình 3.8 Báo cáo lỗi đường dẫn 59 Hình 3.9 Báo cáo kích hoạt mật 59 Hình 3.10 Kết đánh giá 61 Hình 3.11 báo cáo tổng hợp 61 Hình 3.12 Báo cáo chi tiết 62 Hình 3.13 Báo cáo thơng tin người dùng .62 Hình 3.14 Báo cáo lỗi đường dẫn 62 viii DANH SÁCH CÁC BẢNG Bảng 3.1 Nội dung quy trình .48 Bảng 3.2 xây dựng kịch 50 Bảng 3.3 Kết theo kịch 56 Bảng 3.4 xây dựng kịch 60 Bảng 3.5 Kết đánh giá theo kịch .63 DANH SÁCH CÁC TỪ VIẾT TẮT Từ viết tắt Nội dung HTTT Hệ thống thơng tin ATTT An tồn thơng tin USB Universal Serial Bus MỞ ĐẦU ĐẶT VẤN ĐỀ Vấn đề bảo đảm an toàn cho hệ thống thông tin (HTTT) vấn đề quan trọng cần cân nhắc suốt trình thiết kế, thi công, vận hành bảo dưỡng HTTT Cũng tất hoạt động khác đời sống xã hội, từ người có nhu cầu lưu trữ xử lý thông tin, đặc biệt từ thông tin xem phận tư liệu sản xuất, nhu cầu bảo vệ thơng tin trở nên thiết Bảo vệ thông tin bảo vệ tính bí mật thơng tin tính tồn vẹn thơng tin Một số loại thơng tin ý nghĩa chúng giữ kín giới hạn số đối tượng đó, ví dụ thơng tin chiến lược qn chẳng hạn Đây tính bí mật thơng tin Hơn nữa, thông tin người ghi nhớ hữu hạn óc, nên cần phải có thiết bị để lưu trữ thơng tin Nếu thiết bị lưu trữ hoạt động khơng an tồn, thơng tin lưu trữ bị sai lệch tồn hay phần, tính tồn vẹn thơng tin khơng bảo đảm Khi máy tính sử dụng để xử lý thơng tin, hiệu xử lý thông tin nâng cao lên, khối lượng thông tin xử lý ngày lớn lên, kéo theo nó, tầm quan trọng thông tin đời sống xã hội tăng lên Nếu trước đây, việc bảo vệ thông tin trọng vào vấn đề dùng chế phương tiện vật lý để bảo vệ thông tin theo nghĩa đen từ này, sau, vấn đề bảo vệ thông tin trở nên đa dạng phức tạp Vì vậy, an tồn bảo mật thơng tin vấn đề nóng bỏng Đây đấu tranh khơng có hồi kết kẻ xấu ln lợi dụng khơng gian mạng để rửa tiền, ăn cắp tài khoản hay thực mục đích cạnh tranh khơng lành mạnh CNTT phát triển đấu tranh bảo đảm an ninh, ATTT tiếp tục liệt Vấn đề ý thức trách nhiệm người thiết kế hệ thống người sử dụng Xuất phát từ thực tế luận văn sâu vào “Tìm hiểu công cụ đánh giá hệ thống đảm bảo an tồn hệ thống thơng tin” ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU  Lý thuyết an toàn bảo mật hệ thống thông tin  Thực trạng an tồn thơng tin Việt Nam Thế giới  Các kỹ thuật phân tích, thâm nhập hệ thống mạng  Môt sô công cu quét bảo mật website PHƯƠNG PHÁP NGHIÊN CỨU Sử dụng phương pháp nghiên cứu sau:  Phương pháp nghiên cứu lý thuyết: Tìm hiểu lý thuyết an tồn bảo mật hệ thống thông tin, nguy gây an tồn thơng tin, biện pháp đảm bảo an tồn hệ thống thơng tin Nghiên cứu kỹ thuật phân tích, thâm nhập hệ thống mạng  Phương pháp thực nghiệm: Lựa chọn, cài đặt công cụ thực thi kiểm thử bảo mật  Phương pháp trao đổi khoa học, lấy ý kiến chuyên gia HƯỚNG NGHIÊN CỨU CỦA ĐỀ TÀI  Nghiên cứu, tìm hiểu vấn đề an tồn hệ thống thơng tin  Nghiên cứu kỹ thuật phân tích, thâm nhập hệ thống mạng  Đánh giá hệ thống an toàn, bảo mật thơng tin từ xây dựng phát triển cơng cụ kiểm tra, đánh giá an tồn thơng tin BỐ CỤC LUẬN VĂN Luận văn chia làm chương: Chương 1: Tổng quan an toàn bảo mật thơng tin Chương chủ yếu trình bày vấn đề chung như: vai trò nhiệm vụ HTTT, yêu cầu hệ truyền thơng an tồn bảo mật, trình bày nguy ATTT giới thiệu số trang thiết bị đảm bảo an tồn bảo mật thơng tin Chương 2: Nghiên cứu kỹ thuật phân tích, thâm nhập hệ thống mạng Nội dung chương chủ yếu tìm hiểu cơng cụ an ninh mạng sâu vào nghiên cứu, đánh giá ưu nhược điểm môt sô công cu quét bảo mật website 53  Nhấn Next Bước 3: Hình 3.3 Thơng tin server  Hệ thống hiển thị thông tin server cài đặt website  Chọn công cụ phát triển website phần Opimize for following technologies  Nhấn Next Bước 4:  Chọn Login sequence để hệ thống tự động đăng nhập quét, nhấn nút New Login sequence để tạo Login  Nhấn Next Bước 5: Nhấn Finish để bắt đầu quét Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ Hình 3.4 Giao diện thực quét 3.3.3 Kết đánh giá Phân tích kết thực đánh giá Danh sách loại lỗi hiển thị phần Scan Results Số lỗi loại hiển thị số cuối loại Mức độ cảnh báo lỗi: hệ thống hiển thị mức độ cảnh báo an ninh với màu tương ứng  Màu đỏ (level 3): cảnh báo cho lỗi nguy hiểm, đưa website tình trạng rủi ro cao nhất, dễ bị hack trộm cắp liệu  Màu vàng (level 2): cảnh báo cho lỗi thiếu cấu hình máy chủ, mã hóa trang web site dẫn đến tạo điều kiện cho gián đoạn xâm nhập vào máy chủ  Màu xanh da trời: cảnh báo cho lỗi thiếu mã hóa đường truyền liệu bị lỗi đường dẫn thư mục  Màu xanh cây: thông tin cảnh báo cho trang web dễ bị tiết lộ thơng tin qua tìm kiếm google dễ bị tiết lộ địa email Hiển thị thơng tin chi tiết lỗi tìm thấy: nhấn vào lỗi danh sách lỗi phần kết quả, cửa sổ bên phải hiển thị chi tiết lỗi bao gồm:  Mô tả lỗi (Vulnerability description)  Đường dẫn/ nơi chứa file gây lỗi (affected items)  Mức độ nguy hiểm mà lỗi mang lại (The impact of this vulnerability)  Chi tiết tham số, biến dùng để test lỗi (attack details)  Cách để fix lỗi (how to fix vulnerability)  Thông tin chi tiết lỗi (detail information)  Các link để tham khảo thêm lỗi (web references) Kết theo kịch bản: STT Trường hợp test CSS - over 40 different XSS variations are tested Kết mong muốn Không bị lỗi XSS Đánh giá Đạt SQL injection Không bị lỗi SQL injection Không đạt Blind SQL/ Xpath injection Không bị lỗi Không đạt Buffer overflows Không bị lỗi tràn nhớ Đạt Không bị lỗi Đạt Không bị lỗi Đạt Download of Code Without Integrity Check Unrestricted Upload of File with Dangerous Type Application error message Không bị lỗi Không đạt Session cookie without secure Không bị lỗi Không đạt STT Trường hợp test Kết mong muốn Đánh giá flag set Broken links 10 Weak passwords 11 Không bị lỗi Không chứa password dễ nhận biết 123456, abcde Error page web server version disclosure Không bị lỗi Không tự động redirect sang 12 URL redirection 13 CSRF Không bị lỗi CSRF 14 GHDB Không bị lỗi Google hacking trang web khác Không đạt Đạt Không đạt Đạt Đạt Không đạt Bảng 3.3 Kết theo kịch Xuất báo cáo đánh giá Để mở hình báo cáo, nhấn nút Report Toolbar, hệ thống thống hiển thị danh sách loại báo cáo:  Affected Items: báo cáo tổ chức theo item bị lỗi Website với chi tiết lỗi tìm thấy  Developer: dùng cho dev để sẵn sàng cho việc fix bug tìm thấy  Execitive Summary: dùng cho quản lý nhóm để xem xét tình hình bảo mật website  Quick Report: báo cáo nhanh danh sách lỗ hổng file tham số bị lỗi  Compliance: báo cáo theo số chuẩn PCI DSS, OWASP WASC  Scan Comparison: cho phép so sánh với lần quét trước để dễ dàng xác định lỗi fix lỗi chưa fix  Monthly Vulnerabilities: thống kê lỗi tìm thấy theo tháng Cách tạo report:  Chọn loại báo cáo chọn "Report Wizard" để tùy chọn liệu báo cáo  Display all scan: hệ thống hiển thị danh sách tất lần quét để người sử dụng chọn lần quét  Filter displayed scan: hệ thống cho phép lọc lần quét để báo cáo  Nhấn Next  Chọn lần quét, lỗi báo cáo lần  Tích chọn vào lần quét báo cáo  Nhấn để lỗi tìm thấy, chọn lỗi báo cáo  Nhấn next Cách tạo báo cáo: Nhấn nút Generate để tạo báo cáo Xuất báo cáo: Sau tạo báo cáo, hệ thống hiển thị hình chứa báo cáo cho phép người dùng lưu lại xuất báo cáo với nhiều định dạng khác  Chọn định dạng xuất báo cáo: PDF, HTML, text, word, BMP  Chọn thông tin: trang, cách hiển thị cho báo cáo xuất  Chọn OK để hoàn thành thao tác xuất báo cáo Hình 3.5 Kết đánh giá Hình 3.6 Báo cáo tổng hợp Hình 3.7 Báo cáo chi tiết Hình 3.8 Báo cáo lỗi đường dẫn Hình 3.9 Báo cáo kích hoạt mật 3.4 Áp dụng quy trình triển khai đánh giá cổng thơng tin điện tử tỉnh Thanh Hóa sử dụng cơng cụ Acunetix 3.4.1 Xây dựng kịch đánh giá cổng thông tin điện tử STT Trường hợp test CSS - over 40 different XSS variations are tested Kết mong muốn Không bị lỗi XSS SQL injection Không bị lỗi SQL injection Blind SQL/ Xpath injection Không bị lỗi Buffer overflows Không bị lỗi tràn nhớ Download of Code Without Integrity Check Unrestricted Upload of File with Dangerous Type Application error message Session cookie without secure flag set Broken links 10 Weak passwords 11 Không bị lỗi Không bị lỗi Không bị lỗi Không bị lỗi Không chứa password dễ nhận biết 123456, abcde Error page web server version disclosure Không bị lỗi Không bị lỗi Không tự động redirect sang 12 URL redirection 13 CSRF Không bị lỗi CSRF 14 GHDB Không bị lỗi Google hacking trang web khác Bảng 3.4 xây dựng kịch 3.4.2 Thực đánh giá Đánh giá Tương tự trình thao tác để tạo phiên dò quét web http://cyt.edu.vn Ta tạo phiên đánh giá, dò qt tương tự với cổng thơng tin tỉnh Thanh Hóa 3.4.3 Kết đánh giá Hình 3.10 Kết đánh giá Hình 3.11 báo cáo tổng hợp Hình 3.12 Báo cáo chi tiết Hình 3.13 Báo cáo thơng tin người dùng Hình 3.14 Báo cáo lỗi đường dẫn Kết đánh giá theo kịch STT Trường hợp test CSS - over 40 different XSS variations are tested Kết mong muốn Không bị lỗi XSS Đánh giá Không đạt SQL injection Không bị lỗi SQL injection Đạt Blind SQL/ Xpath injection Không bị lỗi Đạt Buffer overflows Không bị lỗi tràn nhớ Đạt Không bị lỗi Đạt Không bị lỗi Đạt Không bị lỗi Không đạt Không bị lỗi Không đạt Không bị lỗi Không đạt Download of Code Without Integrity Check Unrestricted Upload of File with Dangerous Type Application error message Session cookie without secure flag set Broken links 10 Weak passwords 11 Error page web server version disclosure Không chứa password dễ nhận biết 123456, abcde Không bị lỗi Không tự động redirect sang 12 URL redirection 13 CSRF Không bị lỗi CSRF 14 GHDB Không bị lỗi Google hacking trang web khác Bảng 3.5 Kết đánh giá theo kịch Đạt Không đạt Đạt Đạt Không đạt 3.4.4 Kết luận chương Trong chương này, luận văn đánh giá đề xuất cơng cụ xây dựng quy trình để đánh giá cổng thông tin điện tử Trên sở đó, đánh giá quy trình đề xuất mặt ưu nhược điểm Từ triển khai áp dụng thực tiễn thống kê, báo cáo kết áp dụng KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Kết đạt Theo yêu cầu đặt ban đầu “Tìm hiểu cơng cụ đánh giá hệ thống đảm bảo an toàn HTTT”, thời điểm tại, luận văn đạt kết sau:  Tác giả tạo sở lý thuyết vững chắc, làm tảng cho việc xây dựng công cụ đánh giá an toàn website Trong luận văn tác giả nghiên cứu, đánh giá thực trạng vấn đề an ninh an toàn Việt Nam Thế giới, từ thấy tính cấp thiết việc thẩm định, đánh giá sản phẩm an toàn bảo mật thông tin, cụ thể cổng thông tin điện tử  Tác giả nghiên cứu, tìm tòi đưa giải pháp số lỗ hổng bảo mật thường gặp, hỗ trợ người quản lý website sửa chữa lỗ hổng  Quan trọng nhất, tác giả lựa chọn công cụ đánh giá an tồn website, đánh giá trang web nào, viết ngôn ngữ cài đặt tảng Đánh giá chương trình Những vấn đề đạt  Chương trình có khả tự động qt toàn nội dung website  Phát hầu hết lỗ hổng thông dụng nhiều lỗ hổng nghiêm trọng khác  Kết hiển thị trực quan, cho phép xem thông tin chi tiết lỗ hổng phát  Các lỗ hổng phân loại theo mức độ nguy hiểm, bao gồm: nhẹ, trung bình trầm trọng, giúp cho người quản trị có nhìn tổng quan mức độ an tồn website quản lý  Đưa phương pháp khắc phục lỗ hổng để người quản trị sửa lỗi trang web  Chương trình cho phép vị trí file bị lỗi Những vấn đề hạn chế  Do phải đánh giá tất thành phần website nên thời gian quét số trang web có cấu trúc phức tạp nhiều thời gian  Không làm chủ hết sử dụng công cụ, phát số lỗi giới hạn Hướng phát triển tương lai Bước đầu, luận văn đạt yêu cầu đặt Tuy nhiên, kết khiêm tốn hạn chế mặt thời gian tài liệu Trong thời gian tới, có điều kiện, tác giả cố gắng phát triển thêm nội dung sau:  Tìm hiểu thêm lỗ hổng bảo mật cơng bố, tìm phương pháp dò tìm chúng  Tìm hiểu vấn đề bảo mật sâu để đưa lời khuyên hiệu  Tìm hiểu vấn đề bảo mật khơng dừng lại mức độ ứng dụng web, mà phát triển sâu để bảo mật hệ thống mạng dịch vụ  Xây dựng cơng cụ để dò qt cổng thơng tin điện tử áp dụng vào thực tế DANH MỤC TÀI LIỆU THAM KHẢO Tiếng Việt Hồ Văn Hương (2014), “Nghiên cứu lựa chọn công cụ đánh giá cổng thơng tin điện tử”, An tồn thơng tin số (030), 39-43 Trịnh nhật tiến(2008), An toàn an tồn thơng tin, nhà xuất quốc gia Tiếng Anh Wade Anastasia Jere (2012), IBM Rational Appscan, Equ Press Các trang Web Acunetix Web Vulnerability Scanner, https://www.acunetix.com, [Ngày truy cập: 22 tháng năm 2014] Bkav webscan , http://webscan.bkav.com.vn, [Ngày truy cập: 22 tháng năm 2014] IBM Rational AppScan , https://www.ibm.com, [Ngày truy cập: 22 tháng năm 2014] ... tin điện tử CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 1.1 Tổng quan hệ thống thông Tin [2] 1.1.1 Khái niệm hệ thống thông tin Hệ thống thông tin (HTTT) hệ thống sử dụng công nghệ thông. .. pháp đảm bảo an tồn hệ thống thơng tin 1.3 Một số trang thiết bị đảm bảo an toàn bảo mật thông tin 1.3.1 An tồn bảo mật thơng tin thiết bị mạng 1.3.2 An toàn bảo mật thông tin truyền... sách bảo mật vơ hiệu hố chế bảo mật thiết lập 1.2 Hệ thống thơng tin an tồn bảo mật 1.2.1 Các đặc trưng hệ thống thơng tin an tồn bảo mật Một hệ thống thông tin bảo mật hệ thống mà thông tin xử