Tải bản đầy đủ

Tìm hiểu công cụ đánh giá hệ thống đảm bảo an toàn hệ thống thông tin

i

ĐẠI HỌC THÁI NGUYÊN
TRƯỜNG ĐẠI HỌC CNTT VÀ TRUYỀN THÔNG

LÊ THỊ HẠNH

TÌM HIỂU CÔNG CỤ ĐÁNH GIÁ HỆ THỐNG
ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN

LUẬN VĂN THẠC SĨ: KHOA HỌC MÁY TÍNH

Thái Nguyên, tháng 6 năm 2015


ii

ĐẠI HỌC THÁI NGUYÊN
TRƯỜNG ĐẠI HỌC CNTT VÀ TRUYỀN THÔNG

LÊ THỊ HẠNH


TÌM HIỂU CÔNG CỤ ĐÁNH GIÁ HỆ THỐNG
ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN

Chuyên ngành: Khoa học máy tính
Mã số:
60 48 01

LUẬN VĂN THẠC SĨ: KHOA HỌC MÁY TÍNH

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS HỒ VĂN HƯƠNG

Thái Nguyên, tháng 6 năm 2015


3

LỜI CAM ĐOAN
Tôi xin cam đoan:
1. Những nội dung trong luận văn này là do tôi thực hiện dưới sự trực tiếp
hướng dẫn của thầy giáo TS. Hồ Văn Hương.
2. Mọi tham khảo dùng trong luận văn đều được trích dẫn rõ ràng tên tác
giả, tên công trình, thời gian, địa điểm công bố.
3. Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, tôi
xin chịu hoàn toàn trách nhiệm.
Thái Nguyên, tháng 5 năm 2015
Học viên

Lê Thị Hạnh


4

LỜI CẢM ƠN
Tôi xin chân thành cảm ơn trường Đại học Công nghệ thông tin và Truyền thông
– Đại học Thái nguyên, cùng tất cả các thầy giáo, cô giáo đã tận tình giảng dạy và giúp
đỡ tôi trong suốt quá trình học tập, nghiên cứu.
Tôi xin bày tỏ lòng biết ơn sâu sắc đến thầy giáo TS. Hồ Văn Hương, người đã
trực tiếp hướng dẫn và tạo mọi điều kiện thuận lợi giúp đỡ tôi trong quá trình thực hiện
đề tài.


Tôi xin trân trọng cảm ơn Ban lãnh đạo, các đồng nghiệp trường Cao đẳng Y tế
Thanh Hóa đã ủng hộ và dành thời gian để giúp đỡ tôi hoàn thành luận văn này.
Tuy đã có nhiều cố gắng, nhưng chắc chắn luận văn của tôi còn có rất nhiều thiếu
sót. Rất mong nhận được sự góp ý của thầy giáo, cô giáo và các bạn đồng nghiệp.
Xin chân thành cám ơn!


5

MỤC LỤC
LỜI CAM ĐOAN .............................................................................................................i
LỜI CẢM ƠN.................................................................................................................iv
DANH SÁCH CÁC HÌNH ẢNH ................................................................................. vii
DANH SÁCH CÁC TỪ VIẾT TẮT ........................................................................... viii
MỞ ĐẦU .........................................................................................................................1
ĐẶT VẤN ĐỀ.............................................................................................................1
1.
ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU ..................................................1
2.
PHƯƠNG PHÁP NGHIÊN CỨU .....................................................................2
3.
HƯỚNG NGHIÊN CỨU CỦA ĐỀ TÀI ...........................................................2
4.
BỐ CỤC LUẬN VĂN ......................................................................................2
5.
Ý NGHĨA KHOA HỌC CỦA ĐỀ TÀI .............................................................3
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN .................4
1.1. Tổng quan về hệ thống thông Tin .....................................................................4
1.1.1 Khái niệm hệ thống thông tin ....................................................................4
1.1.2 Các thành phần cấu thành nên hệ thống thông tin ....................................4
1.1.3 Các nguy cơ mất an toàn thông tin ............................................................5
1.2. Hệ thống thông tin an toàn và bảo mật .............................................................6
1.2.1. Các đặc trưng của hệ thống thông tin an toàn và bảo mật ........................6
1.2.2. Các biện pháp đảm bảo an toàn hệ thống thông tin ..................................7
1.3. Một số trang thiết bị đảm bảo an toàn và bảo mật thông tin ............................9
1.3.1. An toàn và bảo mật thông tin trên các thiết bị mạng ................................9
1.3.2. An toàn và bảo mật thông tin trong truyền dẫn .......................................10
1.4. Thực trạng an toàn thông tin...........................................................................10
1.4.1. Thực trạng an toàn thông tin ở Việt Nam và trên Thế giới .....................10
1.4.2. Nguy cơ mất an ninh thông tin trên cổng thông tin điện tử ....................12
1.5. Kết luận chương 1...........................................................................................14
CHƯƠNG 2: NGHIÊN CỨU CÁC KỸ THUẬT PHÂN TÍCH, THÂM NHẬP HỆ
THỐNG MẠNG ............................................................................................................15
2.1. Nghiên cứu một số lỗ hổng trong cổng thông tin điện tử ...............................15
2.1.1. SQL injection ..........................................................................................15
2.1.2. XSS..........................................................................................................16
2.1.3. CSRF .......................................................................................................18
2.1.4. Tràn bộ đệm.............................................................................................20
2.2. Khai thác các công cụ an ninh mạng ..............................................................21
2.2.1. Công cụ Sniffer-nghe lén ........................................................................21
2.2.2. Công cụ hacking ......................................................................................23
2.2.3. Công cụ quét bảo mật website.................................................................27
2.3. Tìm hiểu môt sô công cu quét bảo mật website .............................................30


6

2.3.1. Acunetix Web Vulnerability Scanner .....................................................30
2.3.2. Bkav webscan ..........................................................................................37
2.3.3. IBM Rational AppScan ..........................................................................40
2.4. Kết luận chương 2...........................................................................................41
CHƯƠNG 3: ĐÁNH GIÁ, LỰA CHỌN CÔNG CỤ VÀ TRIỂN KHAI ÁP DỤNG ..42
3.1. Đánh giá công cụ dò quét lỗ hổng website .....................................................42
3.2. Đề xuất quy trình triển khai, đánh giá cổng thông tin điện tử ........................45
3.2.1 Mục đích ..................................................................................................46
3.2.2 Phạm vi áp dụng ......................................................................................46
3.2.3 Mô tả quy trình thực hiện ........................................................................46
3.2.4 Đánh giá quy trình ...................................................................................48
3.3. Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử trường Cao đẳng
Y Tế Thanh Hóa sử dụng công cụ Acunetix. ............................................................49
3.3.1. Xây dựng kịch bản đánh giá cổng thông tin điện tử. ..............................49
3.3.2. Thực hiện đánh giá ..................................................................................50
3.3.3. Kết quả đánh giá. .....................................................................................54
3.4. Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử tỉnh Thanh Hóa
sử dụng công cụ Acunetix. ........................................................................................60
3.4.1. Xây dựng kịch bản đánh giá cổng thông tin điện tử ...............................60
3.4.2. Thực hiện đánh giá ..................................................................................60
3.4.3. Kết quả đánh giá ......................................................................................61
3.4.4. Kết luận chương 3...........................................................................................64
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ....................................................................65
1.
Kết quả đạt được. ............................................................................................65
2.
Đánh giá chương trình ....................................................................................65
3.
Hướng phát triển trong tương lai ....................................................................66
DANH MỤC TÀI LIỆU THAM KHẢO ......................................................................67


vii

DANH SÁCH CÁC HÌNH ẢNH
Hình 1.1. Các thành phần của HTTT .............................................................................5
Hình 1.2. Mô hình CIA ...................................................................................................7
Hình 2.1: Quá trình thực hiện XSS ...............................................................................17
Hình 2.2. Sử dụng đĩa Linux Live CD để truy cập các file ...........................................24
Hình 2.3. Phá mật khẩu với Ophcrack...........................................................................26
Hình 2.4. Quá trình sinh ra dữ liệu kiểm thử trong CFG ..............................................29
Hình 2.5. Hệ thống kiểm tra lỗ hổng Bkav WebScan ...................................................37
Hình 3.1. Màn hình chính khi Crawl ............................................................................51
Hình 3.2. Giao diện chính của Acunetix ......................................................................52
Hình 3.3. Thông tin về server ........................................................................................53
Hình 3.4. Giao diện khi đang thực hiện quét.................................................................54
Hình 3.5. Kết quả đánh giá ............................................................................................58
Hình 3.6. Báo cáo tổng hợp ...........................................................................................58
Hình 3.7. Báo cáo chi tiết .............................................................................................59
Hình 3.8. Báo cáo lỗi đường dẫn ...................................................................................59
Hình 3.9. Báo cáo kích hoạt mật khẩu...........................................................................59
Hình 3.10. Kết quả đánh giá .........................................................................................61
Hình 3.11. báo cáo tổng hợp..........................................................................................61
Hình 3.12. Báo cáo chi tiết ...........................................................................................62
Hình 3.13. Báo cáo về thông tin người dùng.................................................................62
Hình 3.14. Báo cáo lỗi đường dẫn .................................................................................62


viii

DANH SÁCH CÁC BẢNG
Bảng 3.1. Nội dung quy trình .......................................................................................48
Bảng 3.2. xây dựng kịch bản .........................................................................................50
Bảng 3.3. Kết quả theo kịch bản....................................................................................56
Bảng 3.4. xây dựng kịch bản .........................................................................................60
Bảng 3.5. Kết quả đánh giá theo kịch bản .....................................................................63

DANH SÁCH CÁC TỪ VIẾT TẮT

Từ viết tắt

Nội dung

HTTT

Hệ thống thông tin

ATTT

An toàn thông tin

USB

Universal Serial Bus


1

MỞ ĐẦU
ĐẶT VẤN ĐỀ
Vấn đề bảo đảm an toàn cho các hệ thống thông tin (HTTT) là một trong những
vấn đề quan trọng cần cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảo
dưỡng HTTT. Cũng như tất cả các hoạt động khác trong đời sống xã hội, từ khi con
người có nhu cầu lưu trữ và xử lý thông tin, đặc biệt là từ khi thông tin được xem như
một bộ phận của tư liệu sản xuất, thì nhu cầu bảo vệ thông tin càng trở nên bức thiết.
Bảo vệ thông tin là bảo vệ tính bí mật của thông tin và tính toàn vẹn của thông tin. Một
số loại thông tin chỉ còn ý nghĩa khi chúng được giữ kín hoặc giới hạn trong một số
các đối tượng nào đó, ví dụ như thông tin về chiến lược quân sự chẳng hạn. Đây là tính
bí mật của thông tin. Hơn nữa, thông tin không phải luôn được con người ghi nhớ do
sự hữu hạn của bộ óc, nên cần phải có thiết bị để lưu trữ thông tin. Nếu thiết bị lưu trữ
hoạt động không an toàn, thông tin lưu trữ trên đó bị mất đi hoặc sai lệch toàn bộ hay
một phần, khi đó tính toàn vẹn của thông tin không còn được bảo đảm.
Khi máy tính được sử dụng để xử lý thông tin, hiệu quả xử lý thông tin được
nâng cao lên, khối lượng thông tin được xử lý càng ngày càng lớn lên, và kéo theo nó,
tầm quan trọng của thông tin trong đời sống xã hội cũng tăng lên. Nếu như trước đây,
việc bảo vệ thông tin chỉ chú trọng vào vấn đề dùng các cơ chế và phương tiện vật lý
để bảo vệ thông tin theo đúng nghĩa đen của từ này, thì càng về sau, vấn đề bảo vệ
thông tin đã trở nên đa dạng hơn và phức tạp hơn.
Vì vậy, an toàn bảo mật thông tin sẽ là vấn đề rất nóng bỏng. Đây là cuộc đấu
tranh không có hồi kết vì kẻ xấu luôn lợi dụng không gian mạng để rửa tiền, ăn cắp tài
khoản hay thực hiện những mục đích cạnh tranh không lành mạnh. CNTT còn phát
triển thì cuộc đấu tranh bảo đảm an ninh, ATTT sẽ còn tiếp tục và quyết liệt hơn. Vấn
đề là ý thức trách nhiệm của những người thiết kế hệ thống cũng như người sử
dụng. Xuất phát từ thực tế đó luận văn đi sâu vào “Tìm hiểu công cụ đánh giá hệ thống
đảm bảo an toàn hệ thống thông tin”.
1. ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU
 Lý thuyết về an toàn và bảo mật hệ thống thông tin


2

 Thực trạng an toàn thông tin ở Việt Nam và Thế giới
 Các kỹ thuật phân tích, thâm nhập hệ thống mạng
 Môt sô công cu quét bảo mật website .
2. PHƯƠNG PHÁP NGHIÊN CỨU
Sử dụng các phương pháp nghiên cứu chính sau:
 Phương pháp nghiên cứu lý thuyết: Tìm hiểu lý thuyết về an toàn và bảo mật
hệ thống thông tin, các nguy cơ gây mất an toàn thông tin, các biện pháp đảm bảo an
toàn hệ thống thông tin. Nghiên cứu các kỹ thuật phân tích, thâm nhập hệ thống mạng.
 Phương pháp thực nghiệm: Lựa chọn, cài đặt công cụ và thực thi kiểm thử bảo
mật.
 Phương pháp trao đổi khoa học, lấy ý kiến chuyên gia.
3. HƯỚNG NGHIÊN CỨU CỦA ĐỀ TÀI
 Nghiên cứu, tìm hiểu các vấn đề về an toàn hệ thống thông tin.
 Nghiên cứu các kỹ thuật phân tích, thâm nhập hệ thống mạng.
 Đánh giá hệ thống an toàn, bảo mật thông tin từ đó xây dựng và phát triển
công cụ kiểm tra, đánh giá an toàn thông tin.
4. BỐ CỤC LUẬN VĂN
Luận văn được chia làm 3 chương:
Chương 1: Tổng quan về an toàn và bảo mật thông tin. Chương này chủ yếu trình
bày về các vấn đề chung như: vai trò nhiệm vụ của HTTT, các yêu cầu của một hệ
truyền thông an toàn và bảo mật, trình bày các nguy cơ mất ATTT và giới thiệu một số
trang thiết bị đảm bảo an toàn và bảo mật thông tin.
Chương 2: Nghiên cứu các kỹ thuật phân tích, thâm nhập hệ thống mạng. Nội
dung chương này chủ yếu tìm hiểu các công cụ an ninh mạng như đi sâu vào nghiên
cứu, đánh giá ưu nhược điểm môt sô công cu quét bảo mật website .


Chương 3: Đánh giá, xây dựng công cu . Nội dung chương 3 là đánh giá các công
cụ bảo mật Website nhờ vào việc phân tích ưu nhược điểm của từng công cụ, tìm ra
được công cụ tối ưu nhất để cài đặt và triển khai thực thi kiểm thử bảo mật.
5. Ý NGHĨA KHOA HỌC CỦA ĐỀ TÀI
Giúp người quản trị Website thấy được tầm quan trọng của việc bảo vệ hệ thống
thông tin an toàn và bảo mật. Đánh giá lựa chọn được công cụ tối ưu nhất để phát hiện
và sửa các lỗ hổng trong cổng thông tin điện tử.


CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN
1.1. Tổng quan về hệ thống thông Tin [2]
1.1.1 Khái niệm hệ thống thông tin
Hệ thống thông tin (HTTT) là một hệ thống sử dụng công nghệ thông tin để thu
thập, truyền, lưu trữ, xử lý và biểu diễn thông tin trong một hay nhiều quá trình kinh
doanh. HTTT phát triển qua bốn loại hình:
 Hệ xử lý dữ liệu: lưu trữ và cập nhật dữ liệu hàng ngày, ra các báo cáo theo
định kỳ, ví dụ như các hệ thống tính lương.
 HTTT quản lý: gồm cơ sở dữ liệu hợp nhất và các dòng thông tin giúp con
người trong sản xuất, quản lý và ra quyết định.
 Hệ trợ giúp quyết định: hỗ trợ cho việc ra quyết định (cho phép nhà phân tích
ra quyết định chọn các phương án mà không phải thu thập và phân tích dữ liệu).
 Hệ chuyên gia: hỗ trợ nhà quản lý giải quyết các vấn đề và làm quyết định một
cách thông minh.
1.1.2 Các thành phần cấu thành nên hệ thống thông tin
Hệ thống thông tin bao gồm 5 thành phần:


Các phần cứng: gồm các thiết bị/phương tiện kỹ thuật dùng để xử lý/lưu trữ

thông tin. Trong đó chủ yếu là máy tính, các thiết bị ngoại vi dùng để lưu trữ và nhập
vào/xuất ra dữ liệu.


Phần mềm: gồm các phần mềm hệ thống như hệ điều hành, phần mềm biên

dịch ngôn ngữ, phần mềm tiện ích, và các phần mềm ứng dụng.


Các hệ mạng: để truyền dữ liệu.



Dữ liệu: là nguyên liệu của HTTT được biểu diễn dưới nhiều dạng như văn

bản, truyền khẩu, hình vẽ,... và những vật mang tin như giấy, bảng từ, đĩa từ...


Con người trong HTTT: là người sử dụng và các chuyên gia về HTTT


Hình 1.1. Các thành phần của HTTT
1.1.3 Các nguy cơ mất an toàn thông tin
Có thể chia các nguy cơ thành 4 nhóm sau đây:
Tiết lộ thông tin hoặc truy xuất thông tin trái phép
Nghe lén, hay đọc lén là một trong những phương thức truy xuất thông tin trái
phép. Các hành vi thuộc phương thức này có thể đơn giản như việc nghe lén một cuộc
đàm thoại, mở một tập tin trên máy của người khác, hoặc phức tạp hơn như xen vào
một kết nối mạng để ăn cắp dữ liệu, hoặc cài các chương trình ghi bàn phím để ghi lại
những thông tin quan trọng được nhập từ bàn phím.
Phát thông tin sai hoặc chấp nhận thông tin sai
Nhóm nguy cơ phát thông tin sai hoặc chấp nhận thông tin sai bao gồm những
hành vi tương tự như nhóm ở trên nhưng mang tính chủ động, tức là có thay đổi thông
tin gốc. Nếu thông tin bị thay đổi là thông tin điều khiển hệ thống thì mức độ thiệt hại
sẽ nghiêm trọng hơn nhiều bởi vì khi đó, hành vi này không chỉ gây ra sai dữ liệu mà


còn có thể làm thay đổi các chính sách an toàn của hệ thống hoặc ngăn chặn hoạt động
bình thường của hệ thống.
Trong thực tế, hình thức tấn công xen giữa Man-in-the-middle (MITM) là một
dạng của phương thức phát thông tin sai hoặc chấp nhận thông tin sai. Hoạt động của
hình thức tấn công này là xen vào một kết nối mạng, đọc lén thông tin và thay đổi
thông tin đó trước khi gửi đến cho nơi nhận.
Giả danh cũng là một dạng hành vi thuộc nhóm nguy cơ phát thông tin sai hoặc
chấp nhận thông tin sai. Hành vi này thực hiện việc trao đổi thông tin với một đối tác
bằng cách giả danh một thực thể khác.
Phủ nhận hành vi cũng là một phương thức gây sai lệch thông tin. Bằng phương
thức này, một thực thể thực hiện hành vi phát ra thông tin, nhưng sau đó lại chối bỏ
hành vi này, tức không công nhận nguồn gốc của thông tin, và do đó vi phạm yêu cầu
về tính toàn vẹn của thông tin.
Ngăn chặn hoạt động của hệ thống
Nhóm nguy cơ thứ 3 bao gồm các hành vi có mục đích ngăn chặn hoạt động bình
thường của hệ thống bằng cách làm chậm hoặc gián đoạn dịch vụ của hệ thống. Tấn
công từ chối dịch vụ hoặc virus là những nguy cơ thuộc nhóm này.
Chiếm quyền điều khiển từng phần hoặc toàn bộ hệ thống
Chiếm quyền điều khiển hệ thống gây ra nhiều mức độ thiệt hại khác nhau, từ
việc lấy cắp và thay đổi dữ liệu trên hệ thống, đến việc thay đổi các chính sách bảo
mật và vô hiệu hoá các cơ chế bảo mật đã được thiết lập.
1.2. Hệ thống thông tin an toàn và bảo mật
1.2.1. Các đặc trưng của hệ thống thông tin an toàn và bảo mật
Một hệ thống thông tin bảo mật là một hệ thống mà thông tin được xử lý trên nó
phải đảm bảo được 3 đặc trưng sau đây:


Tính bí mật (Confidentiality).



Tính toàn vẹn dữ liêụ (Integrity).




Tính khả dụng của thông tin (Availability).

Hình 1.2. Mô hình CIA
Ba đặc trưng này được liên kết lại và xem như là mô hình tiêu chuẩn của các
HTTT bảo mật, hay nói cách khác, đây là 3 thành phần cốt yếu của một HTTT bảo
mật. Mô hình này được sử dụng rộng rãi trong nhiều ngữ cảnh và nhiều tài liệu khác
nhau, và được gọi tắt là mô hình CIA.
1.2.2. Các biện pháp đảm bảo an toàn hệ thống thông tin
An toàn thông tin là việc bảo vệ các thông tin chống lại các rủi ro, mất mát, phá
hủy hay sử dụng không hợp lệ
Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về
điện tử - viễn thông và công nghệ thông tin không ngừng được phát triển ứng dụng để
nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biện pháp
bảo vệ thông tin dữ liệu cũng được đổi mới. Bảo vệ an toàn thông tin dữ liệu là một
chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều
phương pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu. Căn cứ vào từng hệ
thống có thể chọn được các phương pháp cho hiệu quả, các biện pháp bảo vệ an toàn
thông tin dữ liệu có thể được phân loại như sau:
Thiết lập quy tắc quản lý.


Mỗi tổ chức cần có những quy tắc quản lý của riêng mình về bảo mật hệ thống
thông tin. Có thể chia các quy tắc quản lý thành một số phần:
 Quy tắc quản lý đối với hệ thống máy chủ
 Quy tắc quản lý đối với hệ thống máy trạm
 Quy tắc quản lý đối với việc trao đổi thông tin giữa các bộ phận trong hệ
thống, giữa hệ thống máy tính và người sử dụng, giữa các thành phần của hệ thống và
các tác nhân bên ngoài.
An toàn thiết bị
Lựa chọn các thiết bị lưu trữ có độ tin cậy cao để đảm bảo an toàn cho dữ liệu.
Phân loại dữ liệu theo các mức độ an toàn khác nhau để có chiến lược mua sắm thiết bị
hoặc xây dựng kế hoạch sao lưu dữ liệu hợp lý.
Sử dụng các hệ thống cung cấp, phân phối và bảo vệ nguồn điện một cách hợp lý.
Tuân thủ chế độ bảo trì định kỳ đối với các thiết bị.
Thiết lập biện pháp bảo mật
Quy chế bảo mật một hệ thống thể hiện qua quy chế bảo mật trong hệ thống, sự
phân cấp quyền hạn, chức năng của người sử dụng trong hệ thống đối với dữ liệu và
quy trình kiểm soát công tác quản trị hệ thống. Các biện pháp bảo mật bao gồm:
 Bảo mật vật lý đối với hệ thống. Hình thức bảo mật vật lý khá đa dạng, từ
khóa cứng, hệ thống báo động cho đến hạn chế sử dụng thiết bị.
 Các biện pháp hành chính như nhận dạng nhân sự khi vào văn phòng, đăng
nhập hệ thống hoặc cấm cài đặt phần mềm, hay sử dụng các phần mềm không phù hợp
với hệ thống.
 Mật khẩu là một biện pháp phổ biến và khá hiệu quả. Tuy nhiên mật khẩu
không phải là biện pháp an toàn tuyệt đối. Mật khẩu vẫn có thể mất cắp sau một thời
gian sử dụng.
 Bảo mật dữ liệu bằng mật mã tức là biến đổi dữ liệu từ dạng nhiều người dễ
dàng đọc được, hiểu được sang dạng khó nhận biết.


 Xây dựng bức tường lửa, tức là tạo một hệ thống bao gồm phần cứng và phần
mềm đặt giữa hệ thống và môi trường bên ngoài.
1.3. Một số trang thiết bị đảm bảo an toàn và bảo mật thông tin
1.3.1. An toàn và bảo mật thông tin trên các thiết bị mạng
Để hệ thống mạng làm việc trơn tru, hiệu quả và khả năng kết nối tới những hệ
thống mạng khác đòi hỏi phải sử dụng những thiết bị mạng chuyên dụng. Những thiết
bị mạng này rất đa dạng và phong phú về chủng loại nhưng đều dựa trên những thiết bị
cơ bản là Repeater, Hub, Switch, Router và Gateway…
Hầu hết các hệ thống bảo mật hiện nay đều dựa trên các thiết bị phần cứng như:
Firewall. IDS, IDP,…. Cấu hình các thiết bị phần cứng này hợp lý và chính xác góp
phần giảm các lỗ hổng cho phép hacker khai thác. Hiểu rõ cấu hình của thiết bị, có thể
đưa ra cấu hình phù hợp.
Tường lửa – Firewall: là thiết bị phổ biến nhất hiện nay dùng để bảo vệ hệ thống
mạng bên trong chống lại kể xâm nhập bên ngoài. Tường lưa có các chức năng sau:
 Tường lửa quyết định những người nào, dịch vụ nào từ bên trong được phép
truy cập ra bên ngoài và cả những dịch vụ từ bên ngoài được phép truy cập vào bên
trong.
 Triển khai giám sát các sự kiện an ninh mạng.
 Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
 Kiểm soát nội dung thông tin lưu chuyển trên mạng.
Bộ định tuyến – Router: là thiết bị định tuyến dùng để kiểm tra các gói dữ liệu,
chọn đường nào tốt nhất cho chúng xuyên qua mạng, sau đó dẫn chúng đến các đích
thích hợp.
Hub và Switch: là thiết bị được thiết kế để kết nối các máy tính lại với nhau. Có
chức năng tái sinh và định thời lại tín hiệu, giúp tín hiệu truyền đi xa hơn mà không bị
nhiễu. So sánh giữa Hub và Switch ta thấy:
 Switch thông minh hơn Hub


 Switch có tốc độ xử lý nhanh hơn Hub
 Swicth bảo mật tốt hơn Hub. Swicth có khả năng chống lại kỹ thuật tấn công
nghe lén.
Bộ phát sóng Wireless – Access Point: chức năng tương tự như Hub và Swicth
trong mạng không dây, chuyển tiếp sóng trong mạng không dây
1.3.2. An toàn và bảo mật thông tin trong truyền dẫn
Các phương tiện truyền dẫn là một bộ phận quan trọng cấu thành hệ thống
Netword; nó là phương tiện truyền tải dữ liệu từ nơi náy sang nơi khác; trải dài trên
một phạm vi rộng, môi trường và địa hình phức tạp; mức độ nguy hiểm và kém an
toàn khi truyền cao; các dữ liệu có thể bị nhiễu trong môi trường truyền làm thông tin
bị sai lệch, hoặc hacker tiến hành nghe lén trên đường truyền,…
Giải pháp tăng cường độ an toàn trên đường truyền bằng cách sử dụng cáp STP,
có lớp vỏ bọc bên ngoài giúp chống nhiễu tốt hơn cáp UTP.
Dùng cáp sợi quang truyền tín hiệu dữ liệu dạng số ở trạng thái xung ánh sáng
điều biến. Do xung điện không truyền qua cáp sợi quang nên không thể lắp thiết bị
nghe trộm để đánh cắp dữ liệu. Cáp sợi quang truyền được khối lượng lớn dữ liệu với
vận tốc cao đa tín hiệu không bị suy yếu trong quá trình truyền.
Đối với công nghệ mạng không dây: hầu hết mọi người đều có thể nghe lén trong
quá trình truyền của hệ thống mạng, do đó cần mã hóa dữ liệu trước khi truyền, ngoài
ra cần xây dựng hệ thống xác định thâm nhập IDS (Intrusion Detection System)
1.4. Thực trạng an toàn thông tin
1.4.1. Thực trạng an toàn thông tin ở Việt Nam và trên Thế giới
Thực trạng an toàn thông tin ở Việt Nam
Thứ trưởng Bộ TT&TT Nguyễn Minh Hồng đưa ra nhận định tại Hội thảo
Security World 2015, diễn ra sáng 25/3, tại Hà Nội rằng “Việc bảo đảm an toàn, an
ninh thông tin trên môi trường mạng đang ngày càng trở nên cấp thiết, do nguy cơ mất
an toàn thông tin đang gia tăng cả về số lượng lẫn tính chất nghiêm trọng”.


Thực trạng sử dụng WiFi miễn phí tại Việt Nam: trong năm 2014, nghiên cứu
của Bkav chỉ ra, WiFi miễn phí tại tất cả các thành phố của Việt Nam tiềm ẩn nhiều
nguy cơ mất an ninh an toàn thông tin. Trong khi đó theo kết quả khảo sát, 24% người
dùng cho biết họ thường xuyên sử dụng mạng WiFi miễn phí để thực hiện các giao
dịch ngân hàng và thanh toán trực tuyến. Điều này rất nguy hiểm bởi người dùng có
thể bị đánh cắp các thông tin nhạy cảm như tài khoản, mật khẩu, thông tin thẻ tín
dụng…
An toàn của máy tính cá nhân sử dụng USB: năm 2014 có tới 85% máy tính từng
nhiễm virus lây lan qua USB, nếu so với con số hơn 90% năm 2013, tỉ lệ này dù có
giảm nhưng vẫn còn ở mức cao. Lý giải điều này, các chuyên gia của Bkav cho biết,
việc Microsoft cắt bỏ tính năng AutoRun đối với USB từ Windows 7 và trên cả
Windows XP phiên bản cập nhật đã giúp giảm đáng kể loại virus này. Tuy nhiên tại
Việt Nam, lượng máy tính dùng hệ điều hành Windows XP phiên bản cũ còn tương
đối nhiều, cùng với đó là việc xuất hiện của virus W32.UsbFakeDrive có thể lây lan
bùng phát chỉ với thao tác đơn giản là mở ổ đĩa của người dùng khiến cho USB vẫn là
nguồn lây nhiễm virus phổ biến.
An toàn thông tin trên điện thoại di động kết nối Internet: ứng dụng giả mạo là
nguồn lây lan mã độc phổ biến nhất trên di động trong năm qua. Nguyên nhân của tình
trạng này là người sử dụng đang khá "thoải mái" trong cài đặt phần mềm trên điện
thoại. Theo khảo sát, chỉ có 13% người dùng xem thông tin nhà sản xuất khi quyết
định tải một phần mềm. Do đó, người dùng chỉ nên tải ứng dụng của nhà phát triển có
uy tín trên các kho phần mềm chính thống để tránh trở thành nạn nhân của ứng dụng
giả mạo.
Các báo cáo được công bố tại Security World 2015 cho thấy tình hình an toàn, an
ninh mạng tại Việt Nam tiếp tục diễn biến phức tạp, tồn tại nhiều nguy cơ bị tấn công,
phá hoại. Báo cáo của hãng bảo mật Kaspersky và Symantec đều xếp Việt Nam đứng
thứ 3 sau Nga và Ấn Độ về số người dùng di động bị mã độc tấn công nhiều nhất trên
thế giới, thứ 7 trên thế giới về phát tán tin nhắn rác và đứng thứ 12 trên thế giới về các
hoạt động tấn công mạng.
Thực trạng an toàn thông tin trên Thế giới


NEW YORK, NY và FRAMINGHAM, MA, ngày 30 tháng 9 năm 2014 Số
lượng các sự cố an toàn thông tin được báo cáo trên toàn thế giới đã tăng 48% lên đến
42,8 triệu vụ, tương đương 117.339 vụ tấn công mỗi ngày trong năm 2013, theo kết
quả cuộc khảo sát thực trạng an toàn thông tin toàn cầu năm 2015, do PwC phối hợp
với các tạp chí CIO và CSO thực hiện, vừa được công bố 10/2014. Theo đó, các sự cố
an toàn thông tin được phát hiện đã tăng 66% mỗi năm kể từ năm 2009.
Cuối tháng 7 năm 2013, tòa án Mỹ đã khởi tố vụ án 160 triệu thẻ tín dụng bị ăn
cắp bởi một nhóm hacker người Nga trong suốt 7 năm (2005-2012). Nhóm này đã
thực hiện tấn công vào website của một số công ty lớn trong lĩnh vực bán lẻ và cung
cấp dịch vụ tài chính như Nasdaq, Dow Jones, J.C. Penny, Visa Inc, chuỗi cửa hàng 7Eleven, hệ thống thanh toán Heartland, các ngân hàng Bỉ - Dexia Bank, Carrefour SA
(CA) - nhà bán lẻ lớn nhất của Pháp…
Đầu năm 2013, một báo cáo chi tiết của hãng bảo mật Mandiant - Mỹ đã chỉ ra
dấu vết của các thành viên thuộc nhóm hacker Trung Quốc có liên quan tới một đơn vị
quân đội của nước này. Nhóm hacker này đã lợi dụng lỗ hổng trên hệ thống để cài
phần mềm gián điệp, theo dõi đánh cắp dữ liệu của các công ty, tổ chức lớn tại Mỹ
trong nhiều năm.
Xa hơn, khoảng tháng 10 năm 2010, trang WikiLeaks công bố hàng trăm nghìn
báo cáo chiến trường, video ghi lại cảnh tấn công bằng trực thăng của quân đội Mỹ
trong đó có hình ảnh của những người dân vô tội bị giết hại... Sự cố lộ lọt thông tin tối
mật lớn nhất trong lịch sử nước Mỹ này bắt đầu từ quân nhân Mỹ Bradley Manning.
Nhiều chuyên gia cho rằng Bradley Manning có thể dễ dàng lấy những thông tin tối
mật là vì các hệ thống chưa đủ an ninh.
Trên toàn cầu, tổn thất tài chính trung bình từ các sự cố an ninh mạng đã biết
được ước tính là 2,7 triệu đô la Mỹ, tăng 34% so với năm 2013. Năm 2014, các tổn
thất lớn xảy ra phổ biến hơn khi số lượng các doanh nghiệp có báo cáo tổn thất tài
chính vượt mức 20 triệu đô la Mỹ đã tăng gần gấp đôi.
1.4.2. Nguy cơ mất an ninh thông tin trên cổng thông tin điện tử


Trong thời buổi Internet ngày càng phát triển như hiện nay, việc liên hệ thư từ,
trao đổi thông tin, báo chí... cũng phát triển không ngừng. Thay cho các phương thức
hoạt động truyền thống, việc ứng dụng hiệu quả của Internet đến nhiều lĩnh vực trong
đời sống của con người đã cho thấy hiệu quả tối ưu của Internet. Sự thay đổi này đã
lấn sâu vào nhiều lĩnh vực: kinh tế, văn hóa, tôn giáo, chính trị, giải trí.... Phần lớn các
hoạt động này đều thông qua các website, các website như sợi dây kết nối giữa cộng
đồng mạng với nhau. Sử dụng website mọi người có thể liên hệ, trao đổi, chia sẽ với
nhau một cách nhanh chóng và hiệu quả. Đặc biệt ngày nay, hình thức thanh toán trực
tuyến thông qua website đang ngày càng trở nên phổ biến. Vì thế, dễ hiểu khi các
website đã trở thành mục tiêu tấn công ưa thích của tin tặc.
Tại Việt Nam, đại diện mảng an ninh mạng công ty an ninh mạng Bkav, ông Ngô
Tuấn Anh phát biểu: “Trong năm 2013 đã có gần 5.000 hệ thống website của các cơ
quan doanh nghiệp tại Việt Nam bị tin tặc tấn công. Chủ yếu thông qua các lỗ hổng về
mạng và cấu hình hệ thống. So với năm 2012 (có 2.203 website bị tấn công), con số
này đã tăng lên gấp đôi”. Thêm vào đó, một nghiên cứu được thực hiện trong 7 tháng,
từ tháng 7 năm 2013 đến tháng 2 năm 2014 với 4 lần quét trên hệ thống Bkav
WebScan đã phát hiện 22% website tồn tại lỗ hổng.
Theo báo cáo của Sở Thông tin và Truyền thông TP.HCM, từ đầu năm 2014 đến
nay có đến hơn 2,5 triệu hành vi dò quét, tấn công có mức độ nguy hiểm cao vào cổng
thông tin của TP.HCM. Con số này tăng đến 300% so với năm trước và phần lớn các
cuộc tấn công này có IP từ Trung Quốc. Ngoài ra, cũng phát hiện đến hơn 650.000 mã
độc.
Nhưng nguy hiểm hơn, theo số liệu của Hiệp hội An toàn thông tin VNISA phía
Nam thì số lượng website của các cơ quan nhà nước (.gov.vn) đã bị hack và xâm nhập
là 250, tính trong năm 2014. Lưu ý, đây mới chỉ là con số công bố công khai. Cũng
theo VNISA, trong khoảng thời gian từ 26/8/2014 đến 17/11/2014 có đến 2.500
website của các cơ quan nhà nước bị tấn công, tức trung bình mỗi ngày có 20 website.
Và đây cũng chỉ là số công khai, con số thực tế cao hơn gấp nhiều lần.
Phần lớn các cổng thông tin, trang thông tin điện tử, hệ thống mạng được xây
dựng không theo một tiêu chuẩn thống nhất về an ninh thông tin, các phần mềm và


thiết bị phần cứng không được nâng cấp, việc cập nhật và vá lỗ hổng bảo mật chưa
được chú trọng. Nhiều lỗi bảo mật ở mức nguy hiểm bình thường nhưng không được
phát hiện, khắc phục kịp thời dẫn đến gây hậu quả nặng nề. Chính sách phân quyền
người dùng chưa được thiết lập, cho phép truy cập tự do, không mật khẩu, mở nhiều
cổng dịch vụ không cần thiết..., các chuyên gia cảnh báo
1.5. Kết luận chương 1
Chương 1 đã tìm hiểu cơ bản về HTTT và an toàn bảo mật HTTT. Trong chương
này luận văn cũng đã nghiên cứu, đánh giá được thực trạng vấn đề mất an ninh an toàn
tại Việt Nam cũng như trên Thế giới, đặc biệt là an ninh trên cổng thông tin điện tử
trong những năm qua. Do đó, thấy được tính cấp thiết của việc thẩm định, đánh giá
sản phẩm an toàn bảo mật thông tin, cụ thể là cổng thông tin điện tử.


CHƯƠNG 2: NGHIÊN CỨU CÁC KỸ THUẬT PHÂN TÍCH, THÂM NHẬP HỆ
THỐNG MẠNG
2.1. Nghiên cứu một số lỗ hổng trong cổng thông tin điện tử
2.1.1. SQL injection
Khái niệm SQL injection
SQL Injection là cách lợi dụng những lỗ hổng trong quá trình lập trình Web về
phần truy xuất cơ sở dữ liệu. Đây không chỉ là khuyết điểm của riêng SQL Server mà
nó còn là vấn đề chung cho toàn bộ các cơ sở dữ liệu khác như Oracle, MS Access hay
IBM DB2.
Khi hacker gửi những dữ liệu, ứng dụng Web sẽ thực hiện và trả về cho trình
duyệt kết quả câu truy vấn hay những thông báo lỗi có liên quan đến cơ sở dữ liệu. Và
nhờ những thông tin này mà hacker biết được nội dung cơ sở dữ liệu và từ đó có thể
điều khiển toàn bộ hệ thống ứng dụng.
Các cách tấn công
 Dạng tấn công vượt qua trang đăng nhập
 Tấn công dựa vào câu lệnh SELECT
 Tấn công dựa vào câu lệnh kết hợp UNION
 Tấn công dưa vào lệnh INSERT
 Tấn công dựa vào STORED PROCEDURE
Cách phòng chống
 Trong hầu hết trình duyệt, những kí tự nên được mã hoá trên địa chỉ URL
trước khi được sử dụng.
 Việc tấn công theo SQL Injection dựa vào những câu thông báo lỗi thì việc
phòng chống hay nhất vẫn là không cho hiển thị những thông điệp lỗi cho người dùng
bằng cách thay thế những lỗi thông báo bằng 1 trang do người phát triển thiết kế mỗi
khi lỗi xảy ra trên ứng dụng.
 Kiểm tra kĩ giá trị nhập vào của người dùng, thay thế những kí tự như „ ; v..v..


 Hãy loại bỏ các kí tự meta như “',",/,\,;“ và các kí tự extend như NULL, CR,
LF,...trong các string nhận được từ:
- Dữ liệu nhập do người dùng đệ trình.
- Các tham số từ URL.
- Các giá trị từ cookie.
 Đối với các giá trị numeric, hãy chuyển nó sang integer trước khi thực hiện
câu truy vấn SQL, hoặc dùng ISNUMERIC để chắc chắn nó là một số integer.
 Dùng thuật toán để mã hoá dữ liệu.
 Sử dụng cơ sở dữ liệu hợp lệ khác nhau cho mục đích sử dụng khác nhau.
2.1.2. XSS
Kỹ thuật tấn công cross site scripting (xss)
Phương pháp Cross Site Scripting (được viết tắt là XSS) là phương pháp tấn công
bằng cách chèn thêm những đoạn mã có khả năng đánh cắp hay thiết lập được những
thông tin quan trọng như cookies, mật khẩu,… vào mã nguồn ứng dụng web để từ đó
chúng được chạy như là một phần của ứng dụng Web và có chức năng cung cấp hoặc
thực hiện những những điều hacker muốn.
Phương pháp này không nhằm vào máy chủ hệ thống mà chủ yếu tấn công trên
chính máy người sử dụng. Hacker sẽ lợi dụng sự kiểm tra lỏng lẻo từ ứng dụng và hiểu
biết hạn chế của người dùng cũng như biết đánh vào sự tò mò của họ dẫn đến người
dùng bị mất thông tin một cách dễ dàng.
Thông thường hacker lợi dụng địa chỉ URL để đưa ra những liên kết là tác nhân
kích hoạt những đoạn chương trình được viết bằng ngôn ngữ máy khách như
VBScript, JavaScript…được thực thi trên chính trình duyệt của nạn nhân.
Các bước thực hiện XSS truyền thống:


Hình 2.1: Quá trình thực hiện XSS
Tóm tắt các bước thực hiện:


Bước 1: hacker biết được người dùng đang sử dụng một ứng dụng Web có lỗ

hổng XSS.
 Bước 2: người dùng nhận được 1 liên kết thông qua email hay trên chính trang
Web (như trên guestbook, banner dễ dàng thêm 1 liên kết do chính hacker tạo ra…).
Thông thường hacker khiến người dùng chú ý bằng những câu kích thích sự tò mò của
người dùng như “ Kiểm tra tài khoản”, “Một phần thưởng hấp dẫn đang chờ bạn”, ….
 Bước 3: chuyển nội dung thông tin (cookie, tên, mật khẩu…) về máy chủ của
hacker.
 Bước 4: hacker tạo một chương trình cgi (ở ví dụ bên dưới là steal.cgi) hoặc
một trang Web để ghi nhận những thông tin đã đánh cắp vào 1 tập tin
 Bước 5: sau khi nhận được thông tin cần thiết, hacker có thể sử dụng để thâm
nhập vào tài khoản của người dùng.
Cách phòng chống
Với những dữ liệu, thông tin nhập của người dùng, người thiết kế ứng dụng Web
cần phải thực hiện vài bước cơ bản sau:
 Tạo ra danh sách những thẻ HTML được phép sử dụng.


Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×