Thạc Sĩ Tìm hiểu công cụ đánh giá hệ thống đảm bảo an toàn hệ thống thông tin

bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

v
MỤC LỤC
LỜI CAM ĐOAN .i
LỜI CẢM ƠN .iv
DANH SÁCH CÁC HÌNH ẢNH . vii
DANH SÁCH CÁC TỪ VIẾT TẮT . viii
MỞ ĐẦU . 1
ĐẶT VẤN ĐỀ . 1
1. ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU 1
2. PHƯƠNG PHÁP NGHIÊN CỨU . 2
3. HƯỚNG NGHIÊN CỨU CỦA ĐỀ TÀI . 2
4. BỐ CỤC LUẬN VĂN 2
5. Ý NGHĨA KHOA HỌC CỦA ĐỀ TÀI . 3
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN . 4
1.1. Tổng quan về hệ thống thông Tin . 4
1.1.1 Khái niệm hệ thống thông tin 4
1.1.2 Các thành phần cấu thành nên hệ thống thông tin 4
1.1.3 Các nguy cơ mất an toàn thông tin 5
1.2. Hệ thống thông tin an toàn và bảo mật . 6
1.2.1. Các đặc trưng của hệ thống thông tin an toàn và bảo mật 6
1.2.2. Các biện pháp đảm bảo an toàn hệ thống thông tin 7
1.3. Một số trang thiết bị đảm bảo an toàn và bảo mật thông tin 9
1.3.1. An toàn và bảo mật thông tin trên các thiết bị mạng 9
1.3.2. An toàn và bảo mật thông tin trong truyền dẫn . 10
1.4. Thực trạng an toàn thông tin . 10
1.4.1. Thực trạng an toàn thông tin ở Việt Nam và trên Thế giới . 10
1.4.2. Nguy cơ mất an ninh thông tin trên cổng thông tin điện tử 12
1.5. Kết luận chương 1 . 14
CHƯƠNG 2: NGHIÊN CỨU CÁC KỸ THUẬT PHÂN TÍCH, THÂM NHẬP HỆ
THỐNG MẠNG 15
2.1. Nghiên cứu một số lỗ hổng trong cổng thông tin điện tử . 15
2.1.1. SQL injection 15
2.1.2. XSS 16
2.1.3. CSRF . 18
2.1.4. Tràn bộ đệm . 20
2.2. Khai thác các công cụ an ninh mạng 21
2.2.1. Công cụ Sniffer-nghe lén 21
2.2.2. Công cụ hacking 23
2.2.3. Công cụ quét bảo mật website . 27
2.3. Tìm hiểu một số công cụ quét bảo mật website . 30
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

vi
2.3.1. Acunetix Web Vulnerability Scanner . 30
2.3.2. Bkav webscan 37
2.3.3. IBM Rational AppScan 40
2.4. Kết luận chương 2 . 41
CHƯƠNG 3: ĐÁNH GIÁ, LỰA CHỌN CÔNG CỤ VÀ TRIỂN KHAI ÁP DỤNG 42
3.1. Đánh giá công cụ dò quét lỗ hổng website . 42
3.2. Đề xuất quy trình triển khai, đánh giá cổng thông tin điện tử 45
3.2.1 Mục đích 46
3.2.2 Phạm vi áp dụng 46
3.2.3 Mô tả quy trình thực hiện 46
3.2.4 Đánh giá quy trình . 48
3.3. Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử trường Cao đẳng
Y Tế Thanh Hóa sử dụng công cụ Acunetix. 49
3.3.1. Xây dựng kịch bản đánh giá cổng thông tin điện tử. 49
3.3.2. Thực hiện đánh giá 50
3.3.3. Kết quả đánh giá. . 54
3.4. Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử tỉnh Thanh Hóa
sử dụng công cụ Acunetix. 60
3.4.1. Xây dựng kịch bản đánh giá cổng thông tin điện tử . 60
3.4.2. Thực hiện đánh giá 60
3.4.3. Kết quả đánh giá 61
3.4.4. Kết luận chương 3 . 64
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 65
1. Kết quả đạt được. 65
2. Đánh giá chương trình 65
3. Hướng phát triển trong tương lai 66
DANH MỤC TÀI LIỆU THAM KHẢO 67

Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

vii
DANH SÁCH CÁC HÌNH ẢNH
Hình 1.1. Các thành phần của HTTT . 5
Hình 1.2. Mô hình CIA . 7
Hình 2.1: Quá trình thực hiện XSS . 17
Hình 2.2. Sử dụng đĩa Linux Live CD để truy cập các file . 24
Hình 2.3. Phá mật khẩu với Ophcrack . 26
Hình 2.4. Quá trình sinh ra dữ liệu kiểm thử trong CFG 29
Hình 2.5. Hệ thống kiểm tra lỗ hổng Bkav WebScan . 37
Hình 3.1. Màn hình chính khi Crawl 51
Hình 3.2. Giao diện chính của Acunetix 52
Hình 3.3. Thông tin về server 53
Hình 3.4. Giao diện khi đang thực hiện quét . 54
Hình 3.5. Kết quả đánh giá 58
Hình 3.6. Báo cáo tổng hợp . 58
Hình 3.7. Báo cáo chi tiết . 59
Hình 3.8. Báo cáo lỗi đường dẫn . 59
Hình 3.9. Báo cáo kích hoạt mật khẩu . 59
Hình 3.10. Kết quả đánh giá . 61
Hình 3.11. báo cáo tổng hợp 61
Hình 3.12. Báo cáo chi tiết . 62
Hình 3.13. Báo cáo về thông tin người dùng . 62
Hình 3.14. Báo cáo lỗi đường dẫn . 62


Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

viii

DANH SÁCH CÁC BẢNG
Bảng 3.1. Nội dung quy trình . 48
Bảng 3.2. xây dựng kịch bản . 50
Bảng 3.3. Kết quả theo kịch bản 56
Bảng 3.4. xây dựng kịch bản . 60
Bảng 3.5. Kết quả đánh giá theo kịch bản . 63








DANH SÁCH CÁC TỪ VIẾT TẮT

Từ viết tắt Nội dung
HTTT Hệ thống thông tin
ATTT An toàn thông tin
USB Universal Serial Bus

Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

1
MỞ ĐẦU
ĐẶT VẤN ĐỀ
Vấn đề bảo đảm an toàn cho các hệ thống thông tin (HTTT) là một trong những
vấn đề quan trọng cần cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảo
dưỡng HTTT. Cũng như tất cả các hoạt động khác trong đời sống xã hội, từ khi con
người có nhu cầu lưu trữ và xử lý thông tin, đặc biệt là từ khi thông tin được xem như
một bộ phận của tư liệu sản xuất, thì nhu cầu bảo vệ thông tin càng trở nên bức thiết.
Bảo vệ thông tin là bảo vệ tính bí mật của thông tin và tính toàn vẹn của thông tin. Một
số loại thông tin chỉ còn ý nghĩa khi chúng được giữ kín hoặc giới hạn trong một số
các đối tượng nào đó, ví dụ như thông tin về chiến lược quân sự chẳng hạn. Đây là tính
bí mật của thông tin. Hơn nữa, thông tin không phải luôn được con người ghi nhớ do
sự hữu hạn của bộ óc, nên cần phải có thiết bị để lưu trữ thông tin. Nếu thiết bị lưu trữ
hoạt động không an toàn, thông tin lưu trữ trên đó bị mất đi hoặc sai lệch toàn bộ hay
một phần, khi đó tính toàn vẹn của thông tin không còn được bảo đảm.
Khi máy tính được sử dụng để xử lý thông tin, hiệu quả xử lý thông tin được
nâng cao lên, khối lượng thông tin được xử lý càng ngày càng lớn lên, và kéo theo nó,
tầm quan trọng của thông tin trong đời sống xã hội cũng tăng lên. Nếu như trước đây,
việc bảo vệ thông tin chỉ chú trọng vào vấn đề dùng các cơ chế và phương tiện vật lý
để bảo vệ thông tin theo đúng nghĩa đen của từ này, thì càng về sau, vấn đề bảo vệ
thông tin đã trở nên đa dạng hơn và phức tạp hơn.
Vì vậy, an toàn bảo mật thông tin sẽ là vấn đề rất nóng bỏng. Đây là cuộc đấu
tranh không có hồi kết vì kẻ xấu luôn lợi dụng không gian mạng để rửa tiền, ăn cắp tài
khoản hay thực hiện những mục đích cạnh tranh không lành mạnh. CNTT còn phát
triển thì cuộc đấu tranh bảo đảm an ninh, ATTT sẽ còn tiếp tục và quyết liệt hơn. Vấn
đề là ý thức trách nhiệm của những người thiết kế hệ thống cũng như người sử
dụng. Xuất phát từ thực tế đó luận văn đi sâu vào “Tìm hiểu công cụ đánh giá hệ thống
đảm bảo an toàn hệ thống thông tin”.
1. ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU
 Lý thuyết về an toàn và bảo mật hệ thống thông tin
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

2
 Thực trạng an toàn thông tin ở Việt Nam và Thế giới
 Các kỹ thuật phân tích, thâm nhập hệ thống mạng
 Một số công cụ quét bảo mật website.
2. PHƯƠNG PHÁP NGHIÊN CỨU
Sử dụng các phương pháp nghiên cứu chính sau:
 Phương pháp nghiên cứu lý thuyết: Tìm hiểu lý thuyết về an toàn và bảo mật
hệ thống thông tin, các nguy cơ gây mất an toàn thông tin, các biện pháp đảm bảo an
toàn hệ thống thông tin. Nghiên cứu các kỹ thuật phân tích, thâm nhập hệ thống mạng.
 Phương pháp thực nghiệm: Lựa chọn, cài đặt công cụ và thực thi kiểm thử bảo
mật.
 Phương pháp trao đổi khoa học, lấy ý kiến chuyên gia.
3. HƯỚNG NGHIÊN CỨU CỦA ĐỀ TÀI
 Nghiên cứu, tìm hiểu các vấn đề về an toàn hệ thống thông tin.
 Nghiên cứu các kỹ thuật phân tích, thâm nhập hệ thống mạng.
 Đánh giá hệ thống an toàn, bảo mật thông tin từ đó xây dựng và phát triển
công cụ kiểm tra, đánh giá an toàn thông tin.
4. BỐ CỤC LUẬN VĂN
Luận văn được chia làm 3 chương:
Chương 1: Tổng quan về an toàn và bảo mật thông tin. Chương này chủ yếu trình
bày về các vấn đề chung như: vai trò nhiệm vụ của HTTT, các yêu cầu của một hệ
truyền thông an toàn và bảo mật, trình bày các nguy cơ mất ATTT và giới thiệu một số
trang thiết bị đảm bảo an toàn và bảo mật thông tin.
Chương 2: Nghiên cứu các kỹ thuật phân tích, thâm nhập hệ thống mạng. Nội
dung chương này chủ yếu tìm hiểu các công cụ an ninh mạng như đi sâu vào nghiên
cứu, đánh giá ưu nhược điểm một số công cụ quét bảo mật website.
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

3
Chương 3: Đánh giá, xây dựng công cụ. Nội dung chương 3 là đánh giá các công
cụ bảo mật Website nhờ vào việc phân tích ưu nhược điểm của từng công cụ, tìm ra
được công cụ tối ưu nhất để cài đặt và triển khai thực thi kiểm thử bảo mật.
5. Ý NGHĨA KHOA HỌC CỦA ĐỀ TÀI
Giúp người quản trị Website thấy được tầm quan trọng của việc bảo vệ hệ thống
thông tin an toàn và bảo mật. Đánh giá lựa chọn được công cụ tối ưu nhất để phát hiện
và sửa các lỗ hổng trong cổng thông tin điện tử.